WO2023072275A1

WO2023072275A1 - 通信方法、装置及系统

Info

Publication number: WO2023072275A1
Application number: PCT/CN2022/128443
Authority: WO
Inventors: 李�赫; 吴�荣; 胡力
Original assignee: 华为技术有限公司
Priority date: 2021-10-30
Filing date: 2022-10-28
Publication date: 2023-05-04
Also published as: US20240284174A1; EP4422235A1; CN116074822A

Abstract

本申请提供一种通信方法、装置及系统，可以确定对终端设备进行鉴权的方式。通信系统包括：统一数据管理、和鉴权服务器功能。统一数据管理，用于根据匿名域信息和配置信息，确定对终端设备进行鉴权的鉴权方式，向鉴权服务器功能发送鉴权获取响应消息。鉴权服务器功能，用于根据鉴权指示信息，向网络切片和独立非公共网络特定的鉴权和授权功能发送认证请求消息。匿名域信息用于指示能够对终端设备进行鉴权的鉴权设备所属的网络的标识，鉴权方式包括外部鉴权方式或者内部鉴权方式，配置信息包括外部鉴权方式对应的一个或者多个网络的标识、和/或内部鉴权方式对应的一个或者多个网络的标识，鉴权获取响应消息包括指示鉴权方式的鉴权指示信息。

Description

通信方法、装置及系统

本申请要求于2021年10月30日提交国家知识产权局、申请号为202111278529.6、申请名称为“通信方法、装置及系统”的中国专利申请的优先权，其全部内容通过引用结合在本申请中。

技术领域

本申请涉及通信领域，尤其涉及一种通信方法、装置及系统。

背景技术

现有的鉴权包括两种方式，一种方式为鉴权授权计费服务器(authentication authorization accounting，AAA)服务器与终端设备完成鉴权过程，该AAA服务器不属于为该终端设备提供网络服务的身份验证服务器功能AUSF(authentication server function，AUSF)网元所属的网络，可以简称为外部鉴权方式；另一种方式为AUSF网元与终端设备完成鉴权过程，该AUSF网元与终端设备属于同一网络，可以简称为内部鉴权方式。示例性地。鉴权过程可以包括网络对终端设备进行鉴权和终端设备对网络进行鉴权，防止非法终端设备占用网络资源，以及防止终端设备进入非法的网络，被骗取关键信息。

然而，对于如何确定使用外部鉴权方式、还是内部鉴权方式，业界尚未给出相应的方案。

发明内容

本申请实施例提供一种通信方法、装置及系统，提供了确定鉴权方式的方案，可以确定对终端设备进行鉴权的方式。

为达到上述目的，本申请采用如下技术方案：

第一方面，提供一种通信系统。该通信系统包括：统一数据管理、和鉴权服务器功能。其中，

鉴权服务器功能，用于向统一数据管理发送鉴权获取请求消息。其中，鉴权获取请求消息包括匿名签约隐藏标识，匿名签约隐藏标识包括匿名域信息，匿名域信息用于指示能够对终端设备进行鉴权的鉴权设备所属的网络的标识。

统一数据管理，用于接收来自鉴权服务器功能的鉴权获取请求消息，根据匿名域信息和配置信息，确定对终端设备进行鉴权的鉴权方式，向鉴权服务器功能发送鉴权获取响应消息。其中，鉴权方式包括外部鉴权方式或者内部鉴权方式，配置信息包括外部鉴权方式对应的一个或者多个网络的标识、和/或内部鉴权方式对应的一个或者多个网络的标识。鉴权获取响应消息包括指示鉴权方式的鉴权指示信息和匿名签约永久标识。匿名签约永久标识包括匿名域信息。

鉴权服务器功能，还用于接收来自统一数据管理的鉴权获取响应消息，根据鉴权指示信息，向网络切片和独立非公共网络特定的鉴权和授权功能发送认证请求消息。其中，认证请求消息用于请求对终端设备进行鉴权，认证请求消息包括匿名签约永久标识。

基于第一方面所述的通信系统，统一数据管理接收包括匿名域信息的匿名签约隐藏标识，该匿名域信息用于指示能够对终端设备进行鉴权的鉴权设备所属的网络的标识，根据匿名域信息和配置信息确定鉴权指示信息，该鉴权指示信息用于指示鉴权的方式，配置信息包括外部鉴权方式对应的一个或者多个网络的标识、和/或内部鉴权方式对应的一个或者多个网络的标识，如此，可以成功确定对终端设备进行鉴权的方式。

在一种可能的设计方式中，匿名签约隐藏标识还可以包括匿名用户名信息和路由指示符，其中，匿名用户名信息为缺省值。

在一种可能的设计方式中，第一方面提供的通信系统还可以包括网络切片和独立非公共网络特定的鉴权和授权功能。

网络切片和独立非公共网络特定的鉴权和授权功能，用于接收来自鉴权服务器功能的认证请求消息。向鉴权服务器功能发送认证响应消息。其中，认证响应消息可以包括真实签约永久标识、和/或鉴权成功消息，真实签约永久标识可以包括真实用户名信息，真实用户名信息可以用于标识终端设备，鉴权成功消息可以用于指示对终端设备鉴权成功。

鉴权服务器功能，还用于接收来自网络切片和独立非公共网络特定的鉴权和授权功能的认证响应消息。在真实域信息与匿名域信息匹配的情况下，向统一数据管理发送鉴权结果确认请求消息。其中，鉴权结果确认请求消息可以包括真实签约永久标识和鉴权结果指示信息，鉴权结果指示信息指示终端设备鉴权成功。

统一数据管理，还用于接收来自鉴权服务器功能的鉴权结果确认请求消息，保存真实签约永久标识和鉴权结果指示信息。

如此，鉴权服务器功能根据匿名域信息和真实域信息，确定外部鉴权设备进行鉴权的过程中所使用的真实签约永久标识与终端设备侧的真实签约永久标识是否相同，若相同，则可以完成终端设备与网络侧的双向认证，终端设备认为网络是真实的，网络认为终端设备是真实的。

在一种可能的设计方式中，认证响应消息还可以包括根密钥。鉴权服务器功能，还用于根据根密钥以及真实签约永久标识，生成中间密钥。

在一种可能的设计方式中，认证响应消息还包括根密钥，第一方面提供的通信系统还可以包括：接入和移动性管理功能和网络切片和独立非公共网络特定的鉴权和授权功能。

网络切片和独立非公共网络特定的鉴权和授权功能，用于接收来自鉴权服务器功能的认证请求消息。向鉴权服务器功能发送认证响应消息。其中，认证响应消息包括真实签约永久标识、和/或鉴权成功消息，真实签约永久标识包括真实用户名信息，真实用户名信息用于标识终端设备，鉴权成功消息用于指示对终端设备鉴权成功。

鉴权服务器功能，还用于接收来自网络切片和独立非公共网络特定的鉴权和授权功能的认证响应消息。响应于鉴权成功消息，根据根密钥、真实签约永久标识和网络侧计数器值，生成网络侧第一验证信息。向接入和移动性管理功能发送鉴权认证响应消息，鉴权认证响应消息包括鉴权成功消息、网络侧第一验证信息和网络侧计数器值。

接入和移动性管理功能，用于接收来自鉴权服务器功能的鉴权认证响应消息，向终端设备发送非接入层安全模式命令消息。其中，非接入层安全模式命令消息包括鉴权成功消息、网络侧第一验证信息和网络侧计数器值。

接入和移动性管理功能，还用于向鉴权服务器功能发送鉴权认证中间消息。其中，鉴权认证中间消息包括终端侧第二验证信息和终端侧计数器值。

鉴权服务器功能，还用于接收来自接入和移动性管理功能的鉴权认证中间消息。根据根密钥、真实签约永久标识和终端侧计数器值，生成网络侧第二验证信息。判断终端侧第二验证信息与网络侧第二验证信息是否一致。在终端侧第二验证信息与网络侧第二验证信息一致的情况下，向统一数据管理发送鉴权结果确认请求消息。其中，鉴权结果确认请求消息包括真实签约永久标识和鉴权结果指示信息，鉴权结果指示信息指示终端设备鉴权成功。

统一数据管理，还用于接收来自鉴权服务器功能的鉴权结果确认请求消息。保存真实签约永久标识和鉴权结果指示信息。

如此，通过确认终端设备侧的验证信息与网络侧的验证信息是否相同，来确定用于进行鉴权的真实签约永久标识与真实签约永久标识是否相同，如此，可以完成终端设备与网络侧的双向认证，终端设备认为网络是真实的，网络认为终端设备是真实的。

在一种可能的设计方式中，鉴权服务器功能，还用于根据根密钥，生成中间密钥，根据中间密钥、真实签约永久标识和网络侧计数器值，生成网络侧第一验证信息。如此，用真实签约永久标识生成网络侧第一验证信息，终端设备收到该第一验证信息后，可以确认鉴权设备进行鉴权时采用的真实签约永久标识与终端设备的真实签约永久标识是否相同。

在一种可能的设计方式中，认证响应消息还包括根密钥，通信系统还可以包括：接入和移动性管理功能和网络切片和独立非公共网络特定的鉴权和授权功能。

网络切片和独立非公共网络特定的鉴权和授权功能，用于接收来自鉴权服务器功能的认证请求消息，向鉴权服务器功能发送认证响应消息。其中，认证响应消息包括真实签约永久标识、鉴权成功消息、和根密钥，真实签约永久标识包括真实用户名信息，真实用户名信息用于标识终端设备，鉴权成功消息用于指示对终端设备鉴权成功。

鉴权服务器功能，还用于接收来自网络切片和独立非公共网络特定的鉴权和授权功能的认证响应消息。向接入和移动性管理功能发送鉴权认证响应消息。其中，鉴权认证响应消息包括真实签约永久标识、和/或鉴权成功消息、中间密钥Kseaf。

接入和移动性管理功能，用于接收来自鉴权服务器功能的鉴权认证响应消息，向终端设备发送非接入层安全模式命令消息。其中，非接入层安全模式命令消息包括鉴权成功消息。

在接入和移动性管理功能与终端设备成功执行非接入层安全模式命令流程的情况下，接入和移动性管理功能，还用于向鉴权服务器功能发送鉴权认证结果消息。其中，鉴权认证结果消息包括鉴权结果指示信息，鉴权结果指示信息指示终端设备鉴权成功。

鉴权服务器功能，还用于接收来自接入和移动性管理功能的鉴权认证结果消息。向接入和移动性管理功能发送鉴权认证结果响应消息。

接入和移动性管理功能，还用于接收来自鉴权服务器功能的鉴权认证结果响应消息。

鉴权服务器功能，还用于响应于鉴权结果指示信息，向统一数据管理发送鉴权结果确认请求消息。其中，鉴权结果确认请求消息包括真实签约永久标识和鉴权结果指示信息。

如此，在鉴权流程后执行非接入层安全模式命令流程，若非接入层安全模式命令流程成功，可得出用于鉴权的真实签约永久标识与终端设备的真实签约永久标识相同，从而外部鉴权设备进行鉴权的过程中所使用的信任状对应的身份信息与终端设备侧的信任状对应的身份信息相同。如此，可以完成终端设备与网络侧的双向认证，终端设备认为网络是真实的，网络认为终端设备是真实的。

在一种可能的设计方式中，第一方面所述的通信系统还可以包括：外部鉴权设备。外部鉴权设备用于接收来自网络切片和独立非公共网络特定的鉴权和授权功能的协议请求消息，对终端设备进行鉴权，向网络切片和独立非公共网络特定的鉴权和授权功能发送协议响应消息。可选地，协议请求消息可以包括匿名签约永久标识、或者包括匿名域信息且不包括匿名签约永久标识中除匿名域信息以外的信息。协议响应消息可以包括真实签约永久标识，还可以包括鉴权成功消息、和/或根密钥。如此，可以采用外部鉴权的方式对终端设备进行鉴权。

第二方面，提供一种通信方法。该通信方法，包括：接收来自鉴权服务器功能的鉴权获取请求消息,根据匿名域信息和配置信息，确定对终端设备进行鉴权的鉴权方式，向鉴权服务器功能发送鉴权获取响应消息。其中，鉴权获取请求消息包括匿名签约隐藏标识，匿名签约隐藏标识包括匿名域信息，匿名域信息用于指示能够对终端设备进行鉴权的鉴权设备所属的网络的标识。鉴权方式包括外部鉴权方式或者内部鉴权方式，配置信息包括外部鉴权方式对应的一个或者多个网络的标识、和/或内部鉴权方式对应的一个或者多个网络的标识。鉴权获取响应消息包括用于指示鉴权方式的鉴权指示信息。

在一种可能的设计方式中，上述根据域信息和配置信息，确定对终端进行鉴权的鉴权方式，可以包括：在能够对终端设备进行鉴权的鉴权设备所属的网络的标识与外部鉴权方式对应的一个或者多个网络的标识匹配的情况下，确定对终端设备进行鉴权的鉴权方式是外部鉴权方式。或者，在能够对设备终端设备进行鉴权的鉴权设备所属的网络的标识与内部鉴权方式对应的一个或者多个网络的标识匹配的情况下，确定对终端设备进行鉴权的鉴权方式是内部鉴权方式。

在一种可能的设计方式中，鉴权获取响应消息还包括匿名签约永久标识，匿名签约永久标识是根据匿名签约隐藏标识确定的，匿名签约永久标识包括匿名域信息。

在一种可能的设计方式中，匿名签约隐藏标识还包括匿名用户名信息和路由指示符，其中，匿名用户名信息为缺省值。

在一种可能的设计方式中，第二方面提供的通信方法，还可以包括：接收来自鉴权服务器功能的鉴权结果确认请求消息,保存真实签约永久标识和鉴权结果指示信息。其中，鉴权结果确认请求消息包括真实签约永久标识和鉴权结果指示信息，鉴权结果指示信息指示终端设备鉴权成功。真实签约永久标识包括真实用户名信息，真实用户名信息用于标识终端设备。

此外，第二方面所述的通信方法的技术效果可以参考第一方面中任一种可能的实现方式所述的通信系统的技术效果，此处不再赘述。

第三方面，提供一种通信方法。该方法包括：向统一数据管理发送鉴权获取请求消息,接收来自统一数据管理的鉴权获取响应消息，根据鉴权指示信息，向网络切片和独立非公共网络特定的鉴权和授权功能发送认证请求消息，接收来自网络切片和独立非公共网络特定的鉴权和授权功能的认证响应消息，在真实域信息与匿名域信息匹配的情况下，向统一数据管理发送鉴权结果确认请求消息。

其中，鉴权获取请求消息包括匿名签约隐藏标识，匿名签约隐藏标识包括匿名域信息，匿名域信息用于指示能够对终端设备进行鉴权的鉴权设备所属的网络的标识。鉴权获取响应消息包括鉴权指示信息和匿名签约永久标识，鉴权指示信息用于指示对终端设备进行鉴权的鉴权方式。匿名签约永久标识包括匿名域信息。鉴权方式包括外部鉴权方式或者内部鉴权方式。认证请求消息用于请求对终端设备进行鉴权，认证请求消息包括匿名签约永久标识。认证响应消息包括真实签约永久标识、和/或鉴权成功消息，真实签约永久标识包括真实用户名信息，真实用户名信息用于标识终端设备，鉴权成功消息用于指示对终端设备鉴权成功。鉴权结果确认请求消息包括真实签约永久标识和鉴权结果指示信息，鉴权结果指示信息指示终端设备鉴权成功。

在一种可能的设计方式中，认证响应消息还包括根密钥，第三方面提供的通信方法，还可以包括：根据根密钥以及真实签约永久标识，生成中间密钥。

此外，第三方面所述的通信方法的技术效果可以参考第一方面中任一种可能的实现方式所述的通信系统的技术效果，此处不再赘述。

第四方面，提供一种通信方法。该方法包括：向统一数据管理发送鉴权获取请求消息，接收来自统一数据管理的鉴权获取响应消息，根据鉴权指示信息，向网络切片和独立非公共网络特定的鉴权和授权功能发送认证请求消息，接收来自网络切片和独立非公共网络特定的鉴权和授权功能的认证响应消息，响应于鉴权成功消息，根据根密钥、真实签约永久标识和网络侧计数器值，生成网络侧第一验证信息，向接入和移动性管理功能发送鉴权认证响应消息，鉴权认证响应消息包括鉴权成功消息、网络侧第一验证信息和网络侧计数器值，接收来自接入和移动性管理功能的鉴权认证中间消息，根据根密钥、真实签约永久标识和终端侧计数器值，生成网络侧第二验证信息。判断终端侧第二验证信息与网络侧第二验证信息是否一致。在终端侧第二验证信息与网络侧第二验证信息一致的情况下，向统一数据管理发送鉴权结果确认请求消息。

其中，鉴权获取请求消息包括匿名签约隐藏标识，匿名签约隐藏标识包括匿名域信息，匿名域信息用于指示能够对终端设备进行鉴权的鉴权设备所属的网络的标识。鉴权获取响应消息包括鉴权指示信息和匿名签约永久标识，鉴权指示信息用于指示对终端设备进行鉴权的鉴权方式。匿名签约永久标识包括匿名域信息。鉴权方式包括外部鉴权方式或者内部鉴权方式。认证请求消息用于请求对终端设备进行鉴权，认证请求消息包括匿名签约永久标识。认证响应消息包括真实签约永久标识、鉴权成功消息和根密钥，真实签约永久标识包括真实用户名信息，真实用户名信息用于标识终端设备，鉴权成功消息用于指示对终端设备鉴权成功。鉴权认证中间消息包括终端侧第二验证信息和终端侧计数器值。鉴权结果确认请求消息包括真实签约永久标识和鉴权结果指示信息。

在一种可能的设计方式中，上述根据根密钥、真实签约永久标识和网络侧计数器值，生成网络侧第一验证信息，包括：根据根密钥，生成中间密钥，根据中间密钥、真实签约永久标识和网络侧计数器值，生成网络侧第一验证信息。

此外，第四方面所述的通信方法的技术效果可以参考第一方面中任一种可能的实现方式所述的通信系统的技术效果，此处不再赘述。

第五方面，提供一种通信方法。该方法包括：向统一数据管理发送鉴权获取请求消息。接收来自统一数据管理的鉴权获取响应消息。根据鉴权指示信息，向网络切片和独立非公共网络特定的鉴权和授权功能发送认证请求消息。接收来自网络切片和独立非公共网络特定的鉴权和授权功能的认证响应消息。向接入和移动性管理功能发送鉴权认证响应消息。接收来自接入和移动性管理功能的鉴权认证结果消息。响应于鉴权结果指示信息，向统一数据管理发送鉴权结果确认请求消息。

其中，鉴权获取请求消息包括匿名签约隐藏标识，匿名签约隐藏标识包括匿名域信息，匿名域信息用于指示能够对终端设备进行鉴权的鉴权设备所属的网络的标识。鉴权获取响应消息包括鉴权指示信息和匿名签约永久标识，鉴权指示信息用于指示对终端设备进行鉴权的鉴权方式。匿名签约永久标识包括匿名域信息。鉴权方式包括外部鉴权方式或者内部鉴权方式。认证请求消息用于请求对终端设备进行鉴权，认证请求消息包括匿名签约永久标识。认证响应消息包括真实签约永久标识、和/或鉴权成功消息，真实签约永久标识包括真实用户名信息，真实用户名信息用于标识终端设备，鉴权成功消息用于指示对终端设备鉴权成功。鉴权认证响应消息包括真实签约永久标识、和/或鉴权成功消息。鉴权认证结果消息包括鉴权结果指示信息，鉴权结果指示信息指示终端设备鉴权成功。鉴权结果确认请求消息包括真实签约永久标识和鉴权结果指示信息。

在一种可能的设计方式中，认证响应消息还包括根密钥，第五方面提供的通信方法，还可以包括：根据根密钥，生成中间密钥。

此外，第五方面所述的通信方法的技术效果可以参考第一方面中任一种可能的实现方式所述的通信系统的技术效果，此处不再赘述。

第六方面，提供一种通信方法。该方法包括：在未获得公钥的情况下，确定匿名签约隐藏标识，向接入和移动性管理功能发送注册请求消息。其中，匿名签约隐藏标识包括匿名域信息、匿名用户名信息和路由指示符，匿名域信息用于指示能够对终端设备进行鉴权的鉴权设备所属的网络的标识，匿名用户名信息为缺省值。注册请求消息包括匿名签约隐藏标识。

在一种可能的设计方式中，第六方面提供的通信方法，还可以包括：与外部鉴权设备执行鉴权流程，并生成根密钥,接收来自接入和移动性管理功能的非接入层安全模式命令消息，非接入层安全模式命令消息包括鉴权成功消息，响应于鉴权成功消息，根据根密钥以及真实签约永久标识，生成中间密钥。其中，鉴权成功消息用于指示对终端设备鉴权成功。真实签约永久标识包括真实用户名信息，真实用户名信息用于标识终端设备。

在一种可能的设计方式中，第六方面提供的通信方法，还可以包括：与外部鉴权设备执行鉴权流程，并生成根密钥。接收来自接入和移动性管理功能的非接入层安全模式命令消息，响应于鉴权成功消息，根据根密钥、真实签约永久标识和网络侧计数器值，生成终端侧第一验证信息,判断终端侧第一验证信息与网络侧第一验证信息是否一致。在终端侧第一验证信息与网络侧第一验证信息一致的情况下，根据根密钥、真实签约永久标识和终端侧计数器值，生成终端侧第二验证信息。向接入和移动性管理功能发送N1消息。其中，非接入层安全模式命令消息包括鉴权成功消息、网络侧第一验证信息和网络侧计数器值，鉴权成功消息用于指示对终端设备鉴权成功。真实签约永久标识包括真实用户名信息，真实用户名信息用于标识终端设备。N1消息包括终端侧第二验证信息和终端侧计数器值。

在一种可能的设计方式中，上述根据根密钥、真实签约永久标识和网络侧计数器值，生成终端侧第一验证信息，可以包括：根据根密钥，生成中间密钥，根据中间密钥、真实签约永久标识和网络侧计数器值，生成终端侧第一验证信息。

此外，第六方面所述的通信方法的技术效果可以参考第一方面中任一种可能的实现方式所述的通信系统的技术效果，此处不再赘述。

第七方面，提供一种通信方法。该方法包括：接收来自终端设备的注册请求消息，向鉴权服务器功能发送鉴权认证请求消息，接收来自鉴权服务器功能的鉴权认证响应消息，在与终端设备成功执行非接入层安全模式命令流程的情况下，向鉴权服务器功能发送鉴权认证结果消息。

其中，注册请求消息包括匿名签约隐藏标识，匿名签约隐藏标识包括匿名域信息、匿名用户名信息和路由指示符，匿名域信息用于指示能够对终端设备进行鉴权的鉴权设备所属的网络的标识，匿名用户名信息为缺省值。鉴权认证请求消息包括匿名签约隐藏标识。鉴权认证响应消息包括真实签约永久标识、和/或鉴权成功消息，真实签约永久标识包括真实用户名信息，真实用户名信息用于标识终端设备，鉴权成功消息用于指示对终端设备鉴权成功。鉴权认证结果消息包括真实签约永久标识和鉴权结果指示信息，鉴权结果指示信息指示终端设备鉴权成功。

此外，第七方面所述的通信方法的技术效果可以参考第一方面中任一种可能的实现方式所述的通信系统的技术效果，此处不再赘述。

第八方面，提供一种通信方法。该方法包括：接收来自鉴权服务器功能的认证请求消息，接收来自外部鉴权设备的协议响应消息，判断匿名域信息与真实域信息是否匹配，在真实域信息与匿名域信息匹配的情况下，向鉴权服务器功能发送认证响应消息。其中，认证请求消息可以包括匿名签约永久标识。匿名签约永久标识包括匿名域信息。协议响应消息可以包括真实签约永久标识，还可以包括鉴权成功消息、和/或根密钥。认证响应消息可以包括鉴权结果指示信息，鉴权结果指示信息指示终端设备鉴权成功。

此外，第八方面所述的通信方法的技术效果可以参考第一方面中任一种可能的实现方式所述的通信系统的技术效果，此处不再赘述。

第九方面，提供一种通信装置。该通信装置，包括：处理模块和收发模块。其中，收发模块，用于接收来自鉴权服务器功能的鉴权获取请求消息。处理模块，用于根据匿名域信息和配置信息，确定对终端设备进行鉴权的鉴权方式。收发模块，还用于向鉴权服务器功能发送鉴权获取响应消息。其中，鉴权获取请求消息包括匿名签约隐藏标识，匿名签约隐藏标识包括匿名域信息，匿名域信息用于指示能够对终端设备进行鉴权的鉴权设备所属的网络的标识。鉴权方式包括外部鉴权方式或者内部鉴权方式，配置信息包括外部鉴权方式对应的一个或者多个网络的标识、和/或内部鉴权方式对应的一个或者多个网络的标识。鉴权获取响应消息包括用于指示鉴权方式的鉴权指示信息。

在一种可能的设计方式中，在能够对终端设备进行鉴权的鉴权设备所属的网络的标识与外部鉴权方式对应的一个或者多个网络的标识匹配的情况下，处理模块，还用于确定对终端设备进行鉴权的鉴权方式是外部鉴权方式。或者，在能够对设备终端设备进行鉴权的鉴权设备所属的网络的标识与内部鉴权方式对应的一个或者多个网络的标识匹配的情况下，处理模块，还用于确定对终端设备进行鉴权的鉴权方式是内部鉴权方式。

在一种可能的设计方式中，收发模块，还用于接收来自鉴权服务器功能的鉴权结果确认请求消息。

第九方面所述的通信装置还可以包括存储模块，该存储模块，用于保存真实签约永久标识和鉴权结果指示信息。其中，鉴权结果确认请求消息包括真实签约永久标识和鉴权结果指示信息，鉴权结果指示信息指示终端设备鉴权成功。真实签约永久标识包括真实用户名信息，真实用户名信息用于标识终端设备。

需要说明的是，第九方面所述的收发模块可以包括接收模块和发送模块。其中，接收模块用于接收来自鉴权服务器功能、和/或其他网元的数据和/或信令；发送模块用于向鉴权服务器功能、和/或其他网元发送数据和/或信令。本申请对于收发模块的具体实现方式，不做具体限定。

可选地，当处理模块执行该程序或指令时，使得第九方面所述的通信装置可以执行第二方面所述的方法。

需要说明的是，第九方面所述的通信装置可以是统一数据管理，也可以是可设置于统一数据管理的芯片(系统)或其他部件或组件，本申请对此不做限定。

此外，第九方面所述的通信装置的技术效果可以参考第二方面中任一种可能的实现方式所述的通信方法的技术效果，此处不再赘述。

第十方面，提供一种通信装置。该通信装置，包括：处理模块和收发模块。其中，收发模块，用于向统一数据管理发送鉴权获取请求消息。收发模块，还用于接收来自统一数据管理的鉴权获取响应消息。处理模块，用于根据鉴权指示信息，向网络切片和独立非公共网络特定的鉴权和授权功能发送认证请求消息。收发模块，还用于接收来自网络切片和独立非公共网络特定的鉴权和授权功能的认证响应消息。在真实域信息与匿名域信息匹配的情况下，收发模块，还用于向统一数据管理发送鉴权结果确认请求消息。

在一种可能的设计方式中，认证响应消息还包括根密钥。处理模块，还用于根据根密钥以及真实签约永久标识，生成中间密钥。

需要说明的是，第十方面所述的收发模块可以包括接收模块和发送模块。其中，接收模块用于接收来自网络切片和独立非公共网络特定的鉴权和授权功能、接入和移动性管理功能、统一数据管理、和/或其他网元的数据和/或信令；发送模块用于向网络切片和独立非公共网络特定的鉴权和授权功能、接入和移动性管理功能、统一数据管理、和/或其他网元发送数据和/或信令。本申请对于收发模块的具体实现方式，不做具体限定。

可选地，第十方面所述的通信装置还可以包括存储模块，该存储模块存储有程序或指令。当处理模块执行该程序或指令时，使得第十方面所述的通信装置可以执行第三方面所述的方法。

需要说明的是，第十方面所述的通信装置可以是鉴权服务器功能，也可以是可设置于鉴权服务器功能的芯片(系统)或其他部件或组件，本申请对此不做限定。

此外，第十方面所述的通信装置的技术效果可以参考第三方面中任一种可能的实现方式所述的通信方法的技术效果，此处不再赘述。

第十一方面，提供一种通信装置。该通信装置，包括：处理模块和收发模块。其中，收发模块，用于向统一数据管理发送鉴权获取请求消息。收发模块，还用于接收来自统一数据管理的鉴权获取响应消息。收发模块，还用于根据鉴权指示信息，向网络切片和独立非公共网络特定的鉴权和授权功能发送认证请求消息。收发模块，还用于接收来自网络切片和独立非公共网络特定的鉴权和授权功能的认证响应消息。处理模块，用于响应于鉴权成功消息，根据根密钥、真实签约永久标识和网络侧计数器值，生成网络侧第一验证信息。收发模块，还用于向接入和移动性管理功能发送鉴权认证响应消息，鉴权认证响应消息包括鉴权成功消息、网络侧第一验证信息和网络侧计数器值。收发模块，还用于接收来自接入和移动性管理功能的鉴权认证中间消息。处理模块，还用于根据根密钥、真实签约永久标识和终端侧计数器值，生成网络侧第二验证信息。处理模块，还用于判断终端侧第二验证信息与网络侧第二验证信息是否一致。在终端侧第二验证信息与网络侧第二验证信息一致的情况下，收发模块，还用于向统一数据管理发送鉴权结果确认请求消息。

可选地，鉴权获取请求消息包括匿名签约隐藏标识，匿名签约隐藏标识包括匿名域信息，匿名域信息用于指示能够对终端设备进行鉴权的鉴权设备所属的网络的标识。鉴权获取响应消息包括鉴权指示信息和匿名签约永久标识，鉴权指示信息用于指示对终端设备进行鉴权的鉴权方式。匿名签约永久标识包括匿名域信息。鉴权方式包括外部鉴权方式或者内部鉴权方式。认证请求消息用于请求对终端设备进行鉴权，认证请求消息包括匿名签约永久标识。认证响应消息包括真实签约永久标识、鉴权成功消息和根密钥，真实签约永久标识包括真实用户名信息，真实用户名信息用于标识终端设备，鉴权成功消息用于指示对终端设备鉴权成功。鉴权认证中间消息包括终端侧第二验证信息和终端侧计数器值。鉴权结果确认请求消息包括真实签约永久标识和鉴权结果指示信息，鉴权结果指示信息指示终端设备鉴权成功。

在一种可能的设计方式中，处理模块，还用于根据根密钥，生成中间密钥，根据中间密钥、真实签约永久标识和网络侧计数器值，生成网络侧第一验证信息。

需要说明的是，第十一方面所述的收发模块可以包括接收模块和发送模块。其中，接收模块用于接收来自网络切片和独立非公共网络特定的鉴权和授权功能、接入和移动性管理功能、统一数据管理、和/或其他网元的数据和/或信令；发送模块用于向网络切片和独立非公共网络特定的鉴权和授权功能、接入和移动性管理功能、统一数据管理、和/或其他网元发送数据和/或信令。本申请对于收发模块的具体实现方式，不做具体限定。

可选地，第十一方面所述的通信装置还可以包括存储模块，该存储模块存储有程序或指令。当处理模块执行该程序或指令时，使得第十一方面所述的通信装置可以执行第四方面所述的方法。

需要说明的是，第十一方面所述的通信装置可以是鉴权服务器功能，也可以是可设置于鉴权服务器功能的芯片(系统)或其他部件或组件，本申请对此不做限定。

此外，第十一方面所述的通信装置的技术效果可以参考第四方面中任一种可能的实现方式所述的通信方法的技术效果，此处不再赘述。

第十二方面，提供一种通信装置。该通信装置，包括：处理模块和收发模块。其中，收发模块，用于向统一数据管理发送鉴权获取请求消息。收发模块，还用于接收来自统一数据管理的鉴权获取响应消息。处理模块，用于根据鉴权指示信息，向网络切片和独立非公共网络特定的鉴权和授权功能发送认证请求消息。收发模块，还用于接收来自网络切片和独立非公共网络特定的鉴权和授权功能的认证响应消息。收发模块，还用于向接入和移动性管理功能发送鉴权认证响应消息。收发模块，还用于接收来自接入和移动性管理功能的鉴权认证结果消息。响应于鉴权结果指示信息，收发模块，还用于向统一数据管理发送鉴权结果确认请求消息。

可选地，鉴权获取请求消息包括匿名签约隐藏标识，匿名签约隐藏标识包括匿名域信息，匿名域信息用于指示能够对终端设备进行鉴权的鉴权设备所属的网络的标识。鉴权获取响应消息包括鉴权指示信息和匿名签约永久标识，鉴权指示信息用于指示对终端设备进行鉴权的鉴权方式。匿名签约永久标识包括匿名域信息。鉴权方式包括外部鉴权方式或者内部鉴权方式。认证请求消息用于请求对终端设备进行鉴权，认证请求消息包括匿名签约永久标识。认证响应消息包括真实签约永久标识、和/或鉴权成功消息，真实签约永久标识包括真实用户名信息，真实用户名信息用于标识终端设备，鉴权成功消息用于指示对终端设备鉴权成功。鉴权认证响应消息包括真实签约永久标识、和/或鉴权成功消息。鉴权认证结果消息包括鉴权结果指示信息。鉴权结果确认请求消息包括真实签约永久标识和鉴权结果指示信息，鉴权结果指示信息指示终端设备鉴权成功。

在一种可能的设计方式中，认证响应消息还包括根密钥，处理模块，还用于根据根密钥，生成中间密钥。

需要说明的是，第十二方面所述的收发模块可以包括接收模块和发送模块。其中，接收模块用于接收来自网络切片和独立非公共网络特定的鉴权和授权功能、接入和移动性管理功能、统一数据管理、和/或其他网元的数据和/或信令；发送模块用于向网络切片和独立非公共网络特定的鉴权和授权功能、接入和移动性管理功能、统一数据管理、和/或其他网元发送数据和/或信令。本申请对于收发模块的具体实现方式，不做具体限定。

可选地，第十二方面所述的通信装置还可以包括存储模块，该存储模块存储有程序或指令。当处理模块执行该程序或指令时，使得第十二方面所述的通信装置可以执行第五方面所述的方法。

需要说明的是，第十二方面所述的通信装置可以是鉴权服务器功能，也可以是可设置于鉴权服务器功能的芯片(系统)或其他部件或组件，本申请对此不做限定。

此外，第十二方面所述的通信装置的技术效果可以参考第五方面中任一种可能的实现方式所述的通信方法的技术效果，此处不再赘述。

第十三方面，提供一种通信装置。该通信装置，包括：处理模块和收发模块。其中，在未获得公钥的情况下，处理模块，用于确定匿名签约隐藏标识。收发模块，用于向接入和移动性管理功能发送注册请求消息。其中，匿名签约隐藏标识包括匿名域信息、匿名用户名信息和路由指示符，匿名域信息用于指示能够对通信装置进行鉴权的鉴权设备所属的网络的标识，匿名用户名信息为缺省值。注册请求消息包括匿名签约隐藏标识。

在一种可能的设计方式中，处理模块，还用于与外部鉴权设备执行鉴权流程，并生成根密钥。收发模块，用于接收来自接入和移动性管理功能的非接入层安全模式命令消息，非接入层安全模式命令消息包括鉴权成功消息。处理模块，还用于响应于鉴权成功消息，根据根密钥以及真实签约永久标识，生成中间密钥。其中，鉴权成功消息用于指示对通信装置鉴权成功。真实签约永久标识包括真实用户名信息，真实用户名信息用于标识通信装置。

在一种可能的设计方式中，处理模块，还用于与外部鉴权设备执行鉴权流程，并生成根密钥。收发模块，用于接收来自接入和移动性管理功能的非接入层安全模式命令消息。处理模块，还用于响应于鉴权成功消息，根据根密钥、真实签约永久标识和网络侧计数器值，生成终端侧第一验证信息。处理模块，还用于判断终端侧第一验证信息与网络侧第一验证信息是否一致。在终端侧第一验证信息与网络侧第一验证信息一致的情况下，处理模块，还用于根据根密钥、真实签约永久标识和终端侧计数器值，生成终端侧第二验证信息。收发模块，还用于向接入和移动性管理功能发送N1消息。

其中，非接入层安全模式命令消息包括鉴权成功消息、网络侧第一验证信息和网络侧计数器值，鉴权成功消息用于指示对通信装置鉴权成功。真实签约永久标识包括真实用户名信息，真实用户名信息用于标识通信装置。N1消息包括终端侧第二验证信息和终端侧计数器值。

在一种可能的设计方式中，处理模块，还用于根据根密钥，生成中间密钥，根据中间密钥、真实签约永久标识和网络侧计数器值，生成终端侧第一验证信息。

需要说明的是，第十三方面所述的收发模块可以包括接收模块和发送模块。其中，接收模块用于接收来自接入和移动性管理功能、和/或其他网元的数据和/或信令；发送模块用于向接入和移动性管理功能和/或其他网元发送数据和/或信令。本申请对于收发模块的具体实现方式，不做具体限定。

可选地，第十三方面所述的通信装置还可以包括存储模块，该存储模块存储有程序或指令。当处理模块执行该程序或指令时，使得第十三方面所述的通信装置可以执行第六方面所述的方法。

需要说明的是，第十三方面所述的通信装置可以是终端设备，也可以是可设置于终端设备的芯片(系统)或其他部件或组件，本申请对此不做限定。

此外，第十三方面所述的通信装置的技术效果可以参考第六方面中任一种可能的实现方式所述的通信方法的技术效果，此处不再赘述。

第十四方面，提供一种通信装置。该通信装置，包括：接收模块和发送模块。其中，接收模块，用于接收来自终端设备的注册请求消息。发送模块，还用于向鉴权服务器功能发送鉴权认证请求消息。接收模块，还用于接收来自鉴权服务器功能的鉴权认证响应消息。发送模块，还用于在与终端设备成功执行非接入层安全模式命令流程的情况下，向鉴权服务器功能发送鉴权认证结果消息。

需要说明的是，接收模块和发送模块可以分开设置，也可以集成在一个模块中，即收发模块。本申请对于接收模块和发送模块的具体实现方式，不做具体限定。

可选地，第十四方面所述的通信装置还可以包括处理模块和存储模块，该存储模块存储有程序或指令。当处理模块执行该程序或指令时，使得第十四方面所述的通信装置可以执行第七方面所述的方法。

需要说明的是，第十四方面所述的通信装置可以是接入和移动性管理功能，也可以是可设置于接入和移动性管理功能的芯片(系统)或其他部件或组件，本申请对此不做限定。

此外，第十四方面所述的通信装置的技术效果可以参考第七方面中任一种可能的实现方式所述的通信方法的技术效果，此处不再赘述。

第十五方面，提供一种通信装置。该通信装置，包括：处理模块和收发模块。其中，收发模块，用于接收来自鉴权服务器功能的认证请求消息。收发模块，还用于接收来自外部鉴权设备的协议响应消息。处理模块，用于判断匿名域信息与真实域信息是否匹配，在真实域信息与匿名域信息匹配的情况下，收发模块，还用于向鉴权服务器功能发送认证响应消息。其中，认证请求消息可以包括匿名签约永久标识。匿名签约永久标识包括匿名域信息。协议响应消息可以包括真实签约永久标识，还可以包括鉴权成功消息、和/或根密钥。认证响应消息可以包括鉴权结果指示信息，鉴权结果指示信息指示终端设备鉴权成功。

需要说明的是，第十五方面所述的收发模块可以包括接收模块和发送模块。其中，接收模块用于接收来自鉴权服务器功能、外部鉴权设备和/或其他网元的数据和/或信令；发送模块用于向鉴权服务器功能、外部鉴权设备和/或其他网元发送数据和/或信令。本申请对于收发模块的具体实现方式，不做具体限定。

可选地，第十五方面所述的通信装置还可以包括存储模块，该存储模块存储有程序或指令。当处理模块执行该程序或指令时，使得第十五方面所述的通信装置可以执行第八方面所述的方法。

需要说明的是，第十五方面所述的通信装置可以是网络切片和独立非公共网络特定的鉴权和授权功能，也可以是可设置于网络切片和独立非公共网络特定的鉴权和授权功能的芯片(系统)或其他部件或组件，本申请对此不做限定。

此外，第十五方面所述的通信装置的技术效果可以参考第八方面中任一种可能的实现方式所述的通信方法的技术效果，此处不再赘述。

第十六方面，提供一种通信装置。该通信装置包括：处理器，该处理器与存储器耦合，存储器用于存储计算机程序。

处理器用于执行存储器中存储的计算机程序，以使得如第二方面至第八方面中任一种可能的实现方式所述的通信方法被执行。

在一种可能的设计中，第十六方面所述的通信装置还可以包括收发器。该收发器可以为收发电路或输入/输出端口。所述收发器可以用于该通信装置与其他设备通信。

需要说明的是，输入端口可用于实现第二方面至第八方面所涉及的接收功能，输出端口可用于实现第二方面至第八方面所涉及的发送功能。

在本申请中，第十六方面所述的通信装置可以为接入和移动性管理功能、鉴权服务器功能、统一数据管理、网络切片和独立非公共网络特定的鉴权和授权功能或终端设备，或者设置于接入和移动性管理功能、鉴权服务器功能、统一数据管理、网络切片和独立非公共网络特定的鉴权和授权功能或终端设备内部的芯片或芯片系统。

此外，第十六方面所述的通信装置的技术效果可以参考第二方面至第八方面中任一种实现方式所述的通信方法的技术效果，此处不再赘述。

第十七方面，提供了一种芯片系统，该芯片系统包括逻辑电路和输入/输出端口。其中，逻辑电路用于实现第二方面至第八方面所涉及的处理功能，输入/输出端口用于实现第二方面至第八方面所涉及的收发功能。具体地，输入端口可用于实现第二方面至第八方面所涉及的接收功能，输出端口可用于实现第二方面至第八方面所涉及的发送功能。

在一种可能的设计中，该芯片系统还包括存储器，该存储器用于存储实现第二方面至第八方面所涉及功能的程序指令和数据。

该芯片系统，可以由芯片构成，也可以包含芯片和其他分立器件。

第十八方面，提供一种计算机可读存储介质，包括：计算机程序或指令；当该计算机程序或指令在计算机上运行时，使得第二方面至第八方面中任意一种可能的实现方式所述的通信方法被执行。

第十九方面，提供一种计算机程序产品，包括计算机程序或指令，当该计算机程序或指令在计算机上运行时，使得第二方面至第八方面中任意一种可能的实现方式所述的通信方法被执行。

附图说明

图1为本申请实施例提供的一种通信系统的架构示意图；

图2为本申请实施例提供的一种SNPN网络的架构示意图；

图3为本申请实施例提供的一种NAS SMC流程示意图；

图4为本申请实施例提供的一种通信方法的流程示意图；

图5为本申请实施例提供的另一种通信方法的流程示意图；

图6为本申请实施例提供的又一种通信方法的流程示意图；

图7为本申请实施例提供的又一种通信方法的流程示意图；

图8为本申请实施例提供的一种通信装置的结构示意图；

图9为本申请实施例提供的另一种通信装置的结构示意图；

图10为本申请实施例提供的又一种通信装置的结构示意图。

具体实施方式

下面将结合附图，对本申请中的技术方案进行描述。

本申请实施例的技术方案可以应用于各种通信系统，例如通用移动通信系统 (universal mobile telecommunications system，UMTS)、无线局域网(wireless local area network，WLAN)、无线保真(wireless fidelity，Wi-Fi)系统、有线网络、车到任意物体(vehicle to everything，V2X)通信系统、设备间(device-to-device，D2D)通信系统、车联网通信系统、第4代(4th generation，4G)移动通信系统，如长期演进(long term evolution，LTE)系统、全球互联微波接入(worldwide interoperability for microwave access，WiMAX)通信系统，第五代(5th generation，5G)移动通信系统，如新空口(new radio，NR)系统，以及未来的通信系统，如第六代(6th generation，6G)移动通信系统等。

本申请将围绕可包括多个设备、组件、模块等的系统来呈现各个方面、实施例或特征。应当理解和明白的是，各个系统可以包括另外的设备、组件、模块等，并且/或者可以并不包括结合附图讨论的所有设备、组件、模块等。此外，还可以使用这些方案的组合。

另外，在本申请实施例中，“示例地”、“例如”等词用于表示作例子、例证或说明。本申请中被描述为“示例”的任何实施例或设计方案不应被解释为比其它实施例或设计方案更优选或更具优势。确切而言，使用示例的一词旨在以具体方式呈现概念。

本申请实施例中，“的(of)”，“相应的(corresponding，relevant)”和“对应的(corresponding)”有时可以混用，应当指出的是，在不强调其区别时，其所要表达的含义是一致的。

本申请实施例中，有时候下标如W1可能会笔误为非下标的形式如W ₁，在不强调其区别时，其所要表达的含义是一致的。

本申请实施例描述的网络架构以及业务场景是为了更加清楚的说明本申请实施例的技术方案，并不构成对于本申请实施例提供的技术方案的限定，本领域普通技术人员可知，随着网络架构的演变和新业务场景的出现，本申请实施例提供的技术方案对于类似的技术问题，同样适用。

为便于理解本申请实施例，首先以图1中示出的通信系统为例详细说明适用于本申请实施例的通信系统。示例性地，图1为本申请实施例提供的通信方法所适用的一种通信系统的架构示意图。

如图1所示，该通信系统包括终端设备和核心网网元。其中，核心网网元的数量可以为一个或多个。可选地，该通信系统还可以包括外部鉴权设备。外部鉴权设备的数量可以为一个或多个。当外部鉴权设备为多个的时候，每一个外部鉴权设备备所属的网络也各不相同。

其中，上述终端设备为接入上述通信系统，且具有无线收发功能的终端或可设置于该终端的芯片或芯片系统。该终端设备也可以称为用户设备(user equipment，UE)、用户装置、接入终端、用户单元、用户站、移动站、移动台(mobile station，MS)、远方站、远程终端、移动设备、用户终端、终端、终端单元、终端站、终端装置、无线通信设备、用户代理或用户装置。

例如，本申请的实施例中的终端设备可以是手机(mobile phone)、无线数据卡、个人数字助理(personal digital assistant，PDA)电脑、膝上型电脑(laptop computer)、平板电脑(Pad)、无人机、带无线收发功能的电脑、机器类型通信(machine type communication，MTC)终端、虚拟现实(virtual reality，VR)终端设备、增强现实(augmented reality，AR)终端设备、物联网(internet of things，IoT)终端设备、工业控制(industrial control)中的无线终端、无人驾驶(self driving)中的无线终端、远程医疗(remote medical)中的无线终端、智能电网(smart grid)中的无线终端、运输安全(transportation safety)中的无线终端、智慧城市(smart city)中的无线终端、智慧家庭(smart home)中的无线终端(例如游戏机、智能电视、智能音箱、智能冰箱和健身器材等)、车载终端、具有终端功能的RSU。接入终端可以是蜂窝电话(cellular phone)、无绳电话、会话启动协议(session initiation protocol，SIP)电话、无线本地环路(wireless local loop，WLL)站、个人数字助理(personal digital assistant，PDA)、具有无线通信功能的手持设备(handset)、计算设备或连接到无线调制解调器的其它处理设备、可穿戴设备等。

又例如，本申请实施例中的终端设备可以是智慧物流中的快递终端(例如可监控货物车辆位置的设备、可监控货物温湿度的设备等)、智慧农业中的无线终端(例如可收集禽畜的相关数据的可穿戴设备等)、智慧建筑中的无线终端(例如智慧电梯、消防监测设备、以及智能电表等)、智能医疗中的无线终端(例如可监测人或动物的生理状态的可穿戴设备)、智能交通中的无线终端(例如智能公交车、智能车辆、共享单车、充电桩监测设备、智能红绿灯、以及智能监控以及智能停车设备等)、智能零售中的无线终端(例如自动售货机、自助结账机、以及无人便利店等)。又例如，本申请的终端设备可以是作为一个或多个部件或者单元而内置于车辆的车载模块、车载模组、车载部件、车载芯片或者车载单元，车辆通过内置的所述车载模块、车载模组、车载部件、车载芯片或者车载单元可以实施本申请提供的方法。

可选的，图1所示的通信系统可以适用于目前正在讨论的通信网络，也可以适用于未来的其他网络等，本申请实施例对此不做具体限定。

示例性的，图1所示的通信系统应用于独立非公共网络(stand-alone non-public network，SNPN)网络为例，如图2所示，SNPN网络可以包括终端设备、核心网网元、AAA服务器、(无线)接入网((radio)access network，(R)AN)设备、和数据网络(data network，DN)。

关于终端设备的实现方式可参照上述图1中对终端设备的阐述。可选地，终端设备可存储有长期密钥和相关函数。终端设备在与核心网网元(如AMF网元、AUSF网元等)进行双向鉴权的时候，可以使用长期密钥和相关函数验证网络的真实性。

例如，核心网网元可以包括但不限于如下一项或多项：用户面功能(user plane function，UPF)网元、接入和移动性管理功能(core access and mobility management function，AMF)/安全锚功能(security anchor function，SEAF)网元、会话管理功能(session management function，SMF)网元、鉴权服务器功能(authentication server function，AUSF)网元、网络切片选择功能(network slice selection function，NSSF)网元、网络开放功能(network exposure function，NEF)网元、网络功能存储功能(network exposure function Repository Function，NRF)、策略控制功能(policy control function，PCF)网元、统一数据管理(unified data management，UDM)网元、应用功能(application function，AF)网元、和网络切片和独立非公共网络特定的鉴权和授权功能(network slice-specific and SNPN authentication and authorization function，NSSAAF)网元。其中，终端设备通过RAN设备接入5G网络，终端设备通过N1接口(简称N1)与AMF通信；RAN设备可以通过N2接口(简称N2)与AMF通信；RAN设备可以通过N3接口(简称N3)与UPF通信；SMF通过N4接口(简称N4)与UPF通信，UPF通过N6接口(简称N6)接入数据网络。

此外，图2所示的AUSF、AMF/SEAF、SMF、NSSF、NEF、NRF、PCF、UDM、NSSAAF或者AF等控制面功能采用服务化接口进行交互。比如，AUSF对外提供的服务化接口为Nausf，AMF与SEAF可以合设，AMF对外提供的服务化接口为Namf；SMF对外提供的服务化接口为Nsmf；NSSF对外提供的服务化接口为Nnssf；NEF对外提供的服务化接口为Nnef；NRF对外提供的服务化接口为Nnrf；PCF对外提供的服务化接口为Npcf；UDM对外提供的服务化接口为Nudm；NSSAAF对外提供的服务化接口为Nnssaaf，AF对外提供的服务化接口为Naf。

其中，AMF网元主要负责信令处理部分，例如接入控制、移动性管理、附着与去附着以及网关选择等功能。AMF网元为终端设备中的会话提供服务的情况下，可以为该会话提供控制面的存储资源，以存储会话标识、与会话标识关联的SMF网元标识等。AMF还可以获得5G NAS安全上下文，5G NAS安全上下文用于保护NAS消息。

SMF网元负责用户面网元选择，用户面网元重定向、因特网协议(internet protocol，IP)地址分配、承载的建立、修改和释放以及服务质量(quality of service，QoS)控制等。

UPF网元负责终端设备中用户数据的转发和接收。UPF网元可以从数据网络接收用户数据，通过RAN设备传输给终端设备；UPF网元还可以通过RAN设备从终端设备接收用户数据，转发到数据网络。UPF网元中为终端设备提供服务的传输资源和调度功能由SMF网元管理控制的。

AUSF网元可支持3GPP和非3GPP的接入认证。NSSF网元主要负责网络切片的选择，可以根据终端设备的切片选择辅助信息、签约信息等确定终端设备允许接入的网络切片实例，可用于网络验证UE是否是真实的。在内部鉴权场景中，AUSF网元可以对终端设备进行鉴权。

NEF网元主要支持3GPP网络和第三方应用安全的交互。NRF网元可以支持网络功能的注册和发现。PCF网元负责策略控制的决策，可提供控制平面功能的策略规则，以及基于流量的计费控制功能。

UDM网元主要负责终端设备的签约数据管理，包括终端设备标识的存储和管理、终端设备的接入授权等。

AF网元主要支持与3GPP核心网交互来提供服务，例如影响数据路由决策、策略控制功能或者向网络侧提供第三方的一些服务。

NSSAAF网元主要作用是与外部AAA服务器连接，做一个服务化接口(service based interface，SBI)接口与AAA接口转换的作用，是一个连接3GPP网络内部网元与外部AAA服务器的中间网元。比如，NSAAF预配置有AAA服务器的地址信息与域信息的对应关系，当NSSAAF收到域信息后，NSAAF可以根据AAA服务器的地址信息确定AAA服务器，然后将收到的消息发送给AAA服务器。再比如，NSSAAF可以根据域信息向网域名称服务器(domain name server,DNS)服务器请求AAA服务器的地址信息，并从DNS服务器获得AAA服务器地址信息，然后将收到的消息发送给AAA服务器。

上述图1中所示的外部鉴权设备可以为图2中所示的AAA服务器，外部鉴权设备可以称为AAA服务器、或鉴权服务器等，外部鉴权设备可存储用户信任状，信任状可用于对终端设备的身份进行鉴权。外部鉴权设备可用于处理终端设备的访问请求，提供验证授权以及帐户服务，管理用户访问网络服务器，对具有访问权的终端设备提供服务。

上述接入网设备为位于上述通信系统的网络侧，且具有无线收发功能的设备或可设置于该设备的芯片或芯片系统。该接入网设备包括但不限于：无线保真(wireless fidelity，Wi-Fi)系统中的接入点(access point，AP)，如家庭网关、路由器、服务器、交换机、网桥等，演进型节点B(evolved Node B，eNB)、无线网络控制器(radio network controller，RNC)、节点B(Node B，NB)、基站控制器(base station controller，BSC)、基站收发台(base transceiver station，BTS)、家庭基站(例如，home evolved NodeB，或home Node B，HNB)、基带单元(baseband unit，BBU)，无线中继节点、无线回传节点、传输点(transmission and reception point，TRP或者transmission point，TP)等，还可以为5G，如，新空口(new radio，NR)系统中的gNB，或，传输点(TRP或TP)，5G系统中的基站的一个或一组(包括多个天线面板)天线面板，或者，还可以为构成gNB或传输点的网络节点，如基带单元(BBU)，或，分布式单元(distributed unit，DU)、具有基站功能的路边单元(road side unit，RSU)等，或者还可以为卫星、或未来各种形式的基站。

需要说明的是，本申请实施例提供的通信方法，可以适用于图1、图2所示的任意两个节点之间，如终端设备与核心网网元之间、多个核心网网元之间，以及核心网网元与AAA服务器之间，具体实现可以参考下述方法实施例，此处不再赘述。

应当指出的是，本申请实施例中的方案还可以应用于其他通信系统中，相应的名称也可以用其他通信系统中的对应功能的名称进行替代。

应理解，图1仅为便于理解而示例的简化示意图，该通信系统中还可以包括其他网络设备，和/或，其他终端设备，图1中未予以画出。

为了使得本申请实施例更加清楚，以下对与本申请实施例中相关的部分内容以及概念作统一介绍。

第一，签约隐藏标识(subscription concealed identifier，SUCI)、签约永久标识(subscription permanent identifier，SUPI)：

本申请包括两类SUCI：真实签约隐藏标识(可简称为真实SUCI)和匿名签约隐藏标识(可简称为匿名SUCI)，以及包括两类SUPI：真实签约永久标识(可简称为真实SUPI)和匿名签约永久标识(可简称为匿名SUPI)。

需要说明的是，可以将真实签约隐藏标识称为真实签约用户隐藏标识、或非匿名化签约用户隐藏标识等，可以将匿名签约隐藏标识称为匿名签约用户隐藏标识等，类似地，可以将真实签约永久标识称为真实签约用户永久标识、或非匿名化签约用户永久标识等，将匿名签约永久标识称为匿名签约用户永久标识等，本申请对此相关的名称不进行限定。

真实SUCI可以是终端设备根据预配置的公钥对真实SUPI进行加密和完整性保护后生成的。当终端设备没有预配置的公钥时，终端设备可以使用空机制(null-scheme)生成真实SUCI。

示例性地，SUCI的格式可以包括网络访问标识符(network access identifier，NAI)格式、和国际移动客户识别码(international mobile subscriber identity，IMSI)格式。示例性地，SUPI的格式可以包括NAI格式、和IMSI格式等格式。

其中，若SUPI的格式是IMSI格式，其对应的SUCI的格式可以为IMSI格式，也可以为NAI格式，这与具体应用场景有关。若SUPI的格式不是IMSI格式，其对应的SUCI的格式可以为NAI格式。

一些实施例中，真实SUCI可以包括用户名信息和域信息。真实SUPI可以包括用户名信息和域信息。匿名SUCI可以只包括域信息，可选的，还可以包括用户名信息。匿名SUPI可以只包括域信息，可选的，还可以包括用户名信息。针对同一个终端设备/用户而言，其真实SUCI、真实SUPI、匿名SUPI以及匿名SUCI包括的域信息都是相同的，并且他们的用户名信息一般是不同的(格式不同和/或信息表征的含义不同)。具体的，真实SUCI与真实SUPI中包括的用户名信息都可以标识终端设备，但是他们的格式可能是不同的(详细可以参考TS23.003 28.7.2和28.7.3)，例如真实SUCI中的用户名信息可以是由真实SUPI中的用户名信息映射得到的。匿名SUCI与真实SUCI/真实SUPI中的用户名信息一般是不同的。匿名SUCI与匿名SUPI的关系参考本申请下面实施例的描述。

为了便于表述，在本申请下述实施例中，匿名域信息指在匿名SUPI、或匿名SUCI中携带的域信息。真实域信息指在真实SUPI、或真实SUCI中携带的域信息。匿名用户信息指在匿名SUPI、或匿名SUCI中携带的用户信息。真实用户信息指在真实SUPI、或真实SUCI中携带的用户信息。

具体的，匿名SUCI的用户名信息可以包括如下一项或多项：路由指示符(routing indicator，RID)、功能信息和缺省值。其中，RID信息可以为缺省值、或不是缺省值。

其中，域信息可以包括用户的家乡网络信息，可用于相关网元/功能实体确定用户名信息对应的签约数据所在网络。例如，域信息指示能够对终端设备进行鉴权的鉴权设备所属的网络的标识。真实用户名信息可用于标识终端设备，例如指示终端设备的唯一身份。匿名用户名信息则可以用于传递一些必要信息，或者用于确保匿名SUCI/匿名SUPI与真实SUCI/真实SUCI拥有相同的格式，以便于网络侧解析匿名SUCI/匿名SUPI。比如，网络侧可以根据SUCI中的用户名信息得出一个SUCI是匿名SUCI还是真实SUCI。

具体地，当匿名SUCI为NAI格式的时候，即username@realm格式时，其中username(用户名信息)部分可以包括如下一项或多项：RID信息、功能信息和缺省值。

在RID信息不是缺省值的情况下，AMF网元可以根据RID信息确定AUSF网元，AUSF网元可以根据RID信息确定UDM网元。在RID信息是缺省值的情况下，AMF网元或者AUSF网元向NRF网元请求AUSF网元或UDM网元，NRF网元返回RID 信息为缺省值对应的AUSF网元或者UDM网元。

示例性地，功能信息可以指示该匿名SUCI的使用场景、和/或指示是真实SUCI还是匿名SUCI。例如应用于外部鉴权设备对终端设备进行鉴权的场景、或应用于SNPN网络等。例如，匿名SUCI可以是如下格式：SNPN@realm、或外部@realm、或ANY@realm、或匿名@realm。匿名(anonymous，ANY)用于表示该SUCI是匿名SUCI。

示例性地，缺省值可用于补充代表真实身份的相关比特位。比如，真实SUCI的username构成为type<supi type>.rid<routing indicator>.schid<protection scheme id>.userid<MSIN or Network Specific Identifier SUPI username>，那么缺省值用于填充userid部分。

例如，NAI格式的真实SUPI可以为234150999999999@wlan.mnc015.mcc234.3gppnetwork.org，其中，wlan.mnc015.mcc234.3gppnetwork.org为用户的家乡网络信息。可选地，匿名SUCI可以不包括用户名信息，则匿名SUCI为域信息(realm)，也可以包括域信息部分和@符号，比如@realm。例如匿名SUCI可以为@wlan.mnc015.mcc234.3gppnetwork.org或者wlan.mnc015.mcc234.3gppnetwork.org(即不包括@符号)。在匿名SUCI不包括用户名信息的情况下，匿名化的SUCI具体可以是使用空机制生成的真实SUCI后，只保留真实SUCI的realm部分构成的SUCI。

匿名SUCI也可以包括匿名用户名信息，该匿名用户信息可以设置为缺省值。例如匿名SUCI可以为000000000000000@wlan.mnc015.mcc234.3gppnetwork.org(即用户名信息部分全部填充为等量比特位的缺省值0，当前也可以填充为约定好的其他缺省值)。

一些实施例中，构成匿名SUCI的信息(RID信息、功能信息和/或缺省值)可以相互结合，当他们结合的时候，可以使用连接符，也可以不使用连接符。例如，匿名SUCI可以为SNPNRID@realm等，例如RID信息和缺省值结合的情况下，匿名SUCI可以为RID@realm。例如功能信息和缺省值结合的情况下，匿名SUCI可以为SNPN@realm。例如，当连接符为“.”的时候，匿名SUCI可以为SNPN.RID@realm。本申请不一一列举。

一些实施例中，匿名SUPI包括的用户名信息可以包括如下一项或多项：RID信息、功能信息、计数器值和缺省值。其中，RID信息可以为缺省值、或不是缺省值。

例如，NAI格式的匿名SUPI可以为RID@realm。

示例性地，功能信息可以指示该匿名SUPI的使用场景、和/或指示SUPI是真实SUPI还是匿名SUPI，例如应用于外部鉴权设备对终端设备进行鉴权的场景、或应用于SNPN网络等。例如，NAI格式的匿名SUPI可以为SNPN@realm、或外部@realm、或ANY@realm、或匿名@realm等。ANY用于表示该SUPI是匿名SUPI。

示例性地，计数器值可以是计数器的值，计数器值可以为大于或等于0的整数，可以使用计数器值对匿名SUPI进行标识。例如可以为所有的家乡网络维护一个计数器，这样可以为不同家乡网络分配不同的匿名SUPI；或者，可以为每一个家乡网络维护一个计数器，这样可以做到更细粒度，只需要确保同一个家乡网络的匿名SUPI的唯一性。本申请不限定计数器数值的大小或者长度，比如计数器可以由32bit构成，最终可以输出一个整数，或者输出一个32bit的二进制数字。计数器的其初始值为0，每次使用后加1。

例如，所有的家乡网络维护一个计数器时，匿名SUPI可以为0@realm#1，1@realm#2，3@realm#1，其中realm#1和realm#2代表2个不同的家乡网络，这3个计数器值则代表先为realm#1的网络分配了计数器值为0的匿名SUPI，又为realm#2的网络分配了计数器值为1的匿名SUPI，最后为realm#1的网络分配了计数器值为3的匿名SUPI。再例如，当每一个家乡网络维护一个计数器的时候，匿名SUPI可以为0@realm#1，0@realm#2，1@realm#1，其中realm#1和realm#2代表2个不同的家乡网络，这3个计数器值则代表先为realm#1的网络分配了计数器值为0的匿名SUPI，又为realm#2的网络分配了计数器值为0的匿名SUPI，最后为realm#1的网络分配了计数器值为1的匿名SUPI。

示例性地，匿名SUPI的用户名信息可以为缺省值。缺省值，可用于补充代表真实身份的相关比特位。例如NAI格式的匿名SUPI可以为username@realm。其中，username部分为缺省值。比如，缺省值可以为0，则此时匿名化SUPI的格式为0@realm，或者00000000@realm。其中00000000代表username有8个数字构成。本申请例不限定0的个数。

一些实施例中，构成匿名SUPI的信息(RID信息、功能信息、计数器值和/或缺省值)可以相互结合，当他们结合的时候，可以使用连接符，也可以不使用连接符。例如，匿名SUPI可以为SNPNRID@realm、1RID@realm、2SNPN@realm等，例如RID信息和缺省值结合的情况下，匿名SUPI可以为RID@realm。例如功能信息和缺省值结合的情况下，匿名SUPI可以为SNPN@realm。例如，当连接符为“.”的时候，匿名SUPI可以为SNPN.RID@realm、SNPN.RID.1@realm、SNPN.1.RID@realm、SNPN.2@realm、ANY.1@relam、SNPN.ANY.1@realm。本申请不一一列举。

第二，鉴权方式、和鉴权设备：

示例性地，鉴权方式指鉴权设备对终端设备进行鉴权的方式。其中，鉴权方式可以包括外部鉴权方式、或者内部鉴权方式。鉴权设备可以分为外部鉴权设备、和内部鉴权设备。

例如，外部鉴权方式可以指通过外部鉴权设备对终端设备进行鉴权的方式。其中，外部鉴权设备与为该终端设备提供网络服务的AUSF网元属于不同的网络，例如AAA服务器。

例如，内部鉴权方式可以指通过内部鉴权设备对终端设备进行鉴权的方式。其中，内部鉴权设备与终端设备属于同一网络，例如AUSF网元。

第三，鉴权成功消息、和鉴权结果指示信息：

示例性地，鉴权成功消息可用于指示对终端设备鉴权成功。在本申请中，外部鉴权设备对终端设备鉴权成功后，生成鉴权成功消息，通过NSSAAF发给AUSF，例如可扩展身份认证协议(extensible authentication protocol，EAP)成功(success)消息。

示例性地，鉴权结果指示信息用于指示对终端设备鉴权成功或失败，例如网络侧认为终端设备是真实的情况下(例如外部鉴权设备进行鉴权的过程中所使用的真实签约永久标识与终端设备侧的真实签约永久标识相同，再例如，AUSF根据鉴权成功消息确定，再例如，AUSF对终端设备鉴权成功)，AUSF生成鉴权结果指示信息。在本申请中，鉴权结果指示信息由AUSF生成并发给UDM。

鉴权结果指示信息与鉴权成功消息的格式或表现形式不同。鉴权结果指示信息可以是UDM能够识别的信息格式，例如使用“1”来表征鉴权成功。

第四，网络侧第一验证信息、网络侧第二验证信息、终端侧第一验证信息、终端侧第二验证信息：

网络侧第一验证信息、网络侧第二验证信息、终端侧第一验证信息、终端侧第二验证信息中的“网络侧”指由网络侧的网元(例如AUSF)确定的，“终端侧”指由终端设备确定的，“第一”、“第二”等字样并不对数量和执行次序进行限定。

例如，网络侧第一验证信息、和网络侧第二验证信息是由AUSF确定的验证信息。终端侧第一验证信息、和终端侧第二验证信息是由终端设备确定的验证信息。具体确定方法可参照下述图5所示的通信方法。

本申请通过终端设备判断网络侧第一验证信息与终端侧第一验证信息是否一致，来确定网络侧是否是真实的，若相同，则终端设备认为网络侧是真实的。通过AUSF判断终端侧第二验证信息与网络侧第二验证信息是否一致，来确定终端设备是否是真实的，若是，则AUSF认为终端设备是真实的。如此，可以完成终端设备与网络侧的双向认证。

或者，终端设备可以通过是否接收到鉴权成功消息，来确定网络侧是否是真实的，若收到鉴权成功消息则终端设备认为网络侧是真实的，鉴权成功消息指示对终端设备成功鉴权。采用此种方式的情况下，可以不执行AUSF生成网络侧第一验证信息、以及终端设备生成终端侧第一验证信息并比较是否一致的步骤。结合AUSF判断终端侧第二验证信息与网络侧第二验证信息是否一致，可以完成终端设备与网络侧的双向认证。

本申请提出终端设备与网络侧相互认证的方案。

例如，可以通过匿名SUPI的域信息部分与真实SUPI的域信息部分是否匹配，来确定匿名SUPI与真实SUPI的域信息部分是否相同，然后通过根据真实SUPI生成中间密钥来判断用户名信息是否相同。

其中，匹配指域信息部分完全相同、或域信息部分之间存在映射关系。例如，匿名SUPI的域信息部分为FQDN#1，真实SUPI的域信息部分为FQDN#2，FQDN#1与FQDN#2映射或关联或相同，则认为FQDN#1与FQDN#2匹配，因此该匿名SUPI与真实SUPI相同。

又例如，通过判断终端侧的验证信息与网络侧的验证信息是否相同，来实现终端设备与网络侧相互认证。其中，终端侧的验证信息是根据真实SUPI与密钥确定的，网络侧的验证信息是根据网络侧鉴权过程中使用的信任状对应的真实SUPI与的密钥确定的，若终端侧的验证信息与网络侧的验证信息相同，则说明网络侧鉴权过程中使用的信任状对应的真实SUPI与终端的真实SUPI相同，如此，可以完成终端设备与网络侧的双向认证，终端设备认为网络是真实的，网络认为终端设备是真实的。

再例如，通过在鉴权流程后执行非接入层(non-access stratum，NAS)安全模式命令(security mode command，SMC)流程，来实现终端设备与网络侧相互认证。在鉴权流程后执行NAS SMC流程，若NAS SMC流程成功，可得出网络侧鉴权过程中使用的信任状对应的真实SUPI与终端的真实SUPI相同，具体可参照下述第五和第六的阐述。

第五，密钥Kamf的生成：

示例性地，密钥Kamf可以是根据密钥Kseaf生成的，并且以参数FC、P0、L0、L1等作为密钥派生函数(key derivation function，KDF)的输入，Kseaf的长度可以为256比特。其中，密钥Kseaf可以是根据密钥Kausf生成的。

例如，FC＝0x6D，P0＝IMSI或NAI或GCI或GLI，L0表示P0的长度，L1表示P1的长度。

其中，P0表示真实SUPI的值(value)，SUPI的值作为输入参数，参与密钥Kamf的生成。SUPI＝SUPI的类型+SUPI的值。SUPI的值包括IMSI，NAI，GCI和GLI。SUPI的类型包括IMSI类型和NSI类型。P0中展示的含义是只使用SUPI的值，不包括SUPI的类型。

由此得出，SUPI中的SUPI的值参与密钥Kamf的生成的。

第六，NAS SMC流程：

图3为本申请实施例提供的一种NAS SMC流程示意图。

如图3所示，该通信方法包括如下步骤：

S301，AMF网元开启完整性保护。

S302，AMF网元向终端设备发送NAS SMC消息。相应地，终端设备接收来自AMF网元的NAS SMC消息。

示例性地，NAS SMC消息可以包括：密钥标识符(例如5G密钥标识符(key set identifier in 5G，5G ngKSI))、和/或终端设备的能力信息等信元。

例如，NAS SMC消息指示采用密钥标识符对应的密钥进行安全保护。

S303，AMF网元开启上行解密保护。

S304，AMF网元开启下行加密保护。

S305，终端设备进行NAS SMC完整性保护验证。

S306，在完整性保护验证成功后，终端设备向AMF网元发送NAS安全模式完成(security mode complete，SMP)消息。相应地，AMF网元接收来自终端设备的NAS SMP消息。

示例性地，NAS SMC流程可用于激活密钥。在本申请中，NAS SMC流程可发生在主鉴权流程(见下述S409)后。主鉴权流程中AMF网元和终端设备可以生成新的密钥Kausf(例如在下述S705生成)，SUPI中的SUPI的值参与密钥Kamf的生成的。根据密钥Kausf生成密钥Kseaf，进一步根据密钥Kseaf生成密钥Kamf，并根据该新的Kausf生成新的NAS密钥(例如，完整性保护密钥KNASint、加密保护密钥KNASenc)。新的NAS密钥通过NAS SMC流程被激活。AMF网元对NAS SMP消息完整性验证、以及解密NAS SMP消息成功的情况下，确定与终端设备成功执行NAS SMC流程。

当终端设备侧的NAS密钥与AMF网元侧的NAS密钥相同时，NAS SMC流程才能成功完成，由此可以得出：因为NAS SMC流程成功，所以终端设备和AMF网元拥有相同的真实SUPI，AMF网元侧的真实SUPI是从AUSF网元接收的(见下述S703)，因而终端设备侧的真实SUPI与AUSF网元侧的真实SUPI相同。

在主鉴权流程中，AMF网元可以生成一个密钥标识符ngKSI(例如在下述S704生成)。AMF网元可以NAS SMC流程的NAS SMC消息中携带该ngKSI。

在现有技术中，在主鉴权流程后不一定执行NAS SMC流程，因此意味着，虽然在主鉴权流程生成了新的密钥Kausf，但是由于没有执行NAS SMC流程，从而不会激活新的密钥Kausf，不会使用新的密钥，此时终端设备和AMF网元继续使用当前使用的密钥。

需要说明的是，当前使用的密钥不一定是前一次主鉴权流程中生成的密钥，因为前一次主鉴权流程后不一定执行NAS SMC流程。

从而，当前使用的密钥与是否执行主鉴权流程没有直接关系，而是与是否执行NAS SMC流程有关，并与NAS SMC消息中携带的密钥标识符有关。

下面将结合图4-图7对本申请实施例提供的通信方法进行具体阐述。图4-图7以图2所示的AUSF、AMF、UDM、NSSAAF为例进行阐述，本申请提供的通信方法还可以应用于其他、以及未来各种形式的网络架构中，相应的名称也可以用其他网络架构、以及未来各种形式的网络架构中的对应功能的名称进行替代。

示例性地，图4为本申请实施例提供的一种通信方法的流程示意图。

如图4所示，该通信方法包括如下步骤：

S401，AUSF向UDM发送鉴权获取请求消息。相应地，UDM接收来自AUSF的鉴权获取请求消息。

示例性地，鉴权获取请求消息可以包括匿名签约隐藏标识。

例如，匿名签约隐藏标识包括匿名域信息，匿名域信息可用于指示能够对终端设备进行鉴权的鉴权设备所属的网络的标识。可选地，匿名签约隐藏标识还可以包括匿名用户名信息和路由指示符，其中，匿名用户名信息为缺省值。匿名签约隐藏标识具体实现方式可参照上述对匿名SUCI的阐述，此处不再赘述。

一些实施例中，在RID信息不是缺省值的情况下，AUSF可以根据RID信息向UDM发送鉴权获取请求消息。

在一种可能的设计方式中，本申请实施例提供的通信方法还可以包括：S405，在未获得公钥的情况下，终端设备确定匿名签约隐藏标识。

也就是说，匿名签约隐藏标识是终端设备确定的。

示例性地，终端设备确定其通用用户身份识别模块(universal subscriber identity module，USIM)或者移动设备(mobile equipment，ME)上存储的RID信息是否为缺省值，若是，则生成的匿名签约隐藏标识可以不包括RID信息，若不是，则生成的匿名签约隐藏标识中携带有RID信息，如RID@realm。

例如，匿名签约隐藏标识中不包括RID信息，则AMF或者AUSF向NRF请求AUSF或UDM,NRF返回RID信息为缺省值对应的AUSF或者UDM。

如此，RID信息是为了选择AUSF或UDM设置的。RID信息可以预置在USIM卡或终端设备中，还可以由UDM通过空中协议(over the air，OTA)或者通过其他流程下发给终端设备。在SNPN的外部鉴权场景下，SNPN网络可以为不同的终端设备预置不同的RID信息。比如，为信任状存储在SNPN网络的UDM中的终端设备，提供RID#1，为使用外部认证，即使用外部鉴权设备的终端设备提供RID#2，此时外部信息存鉴权对端设备鉴权的时使用的终信任状。

RID#1和RID#2可以选择到的AUSF和UDM是不同的。具体地，根据RID#1可以选择AUSF#1和UDM#1，根据RID#2可以选择AUSF#2和UDM#2。AUSF#1和AUSF#2可以是2个不同的实例(instance)，或者2个不同的功能实体。UDM#1和UDM#2同理。这样做可以使内外部使用的网元做到安全隔离，避免同一个AUSF和/或UDM既为内部服务，又为外部服务。同一个AUSF和/或UDM既为内部服务，又为外部服务，可能面临增大攻击面的风险。比如攻击者可以随意构造匿名SUCI，不停的发起鉴权流程，占用AUSF的资源。最终可能导致该AUSF资源耗尽，既无法为内部服务，又无法为外部服务。在安全隔离的情况下，攻击者不会影响到为内部服务的AUSF的资源，因此该SNPN网络依然可以很好的为内部用户服务。

在一种可能的设计方式中，本申请实施例提供的通信方法还可以包括：S406，终端设备向AMF发送注册请求消息。相应地，AMF接收来自终端设备的注册请求消息。

例如，结合图2，AMF可以为AMF/SEAF。本申请以AMF为例进行阐述。

可选地，注册请求消息可以包括匿名签约隐藏标识。

示例性地，注册请求消息可用于请求到SNPN网络的注册流程。

在一种可能的设计方式中，本申请实施例提供的通信方法还可以包括：S407，AMF向AUSF发送鉴权认证请求消息。相应地，AMF接收来自AUSF的鉴权认证请求消息。

可选地，鉴权认证请求消息可以包括匿名签约隐藏标识。

也就是说，匿名签约隐藏标识可以是终端设备经由AMF发送给AUSF的。

可选地，鉴权认证请求消息还可以包括服务网络(serving network，SN)名称(name)。

例如，SN名称表示AMF所在的网络，UDM在对终端设备鉴权时可将SN名称作为一个输入参数来使用。

一些实施例中，在RID信息不是缺省值的情况下，AMF可以根据RID信息向AUSF发送鉴权认证请求消息。

S402，UDM根据匿名域信息和配置信息，确定对终端设备进行鉴权的鉴权方式。

需要说明的是，UDM与AUSF可以是同一个网元，UDM和AUSF的功能可以由同一个网元执行，例如均由AUSF执行、或者均由NSSAAF执行。或者，在网络没有部署UDM的情况下，该功能由AUSF执行。本申请对此不进行限定，此情况下可以省略UDM和AUSF之间交互的步骤。

例如，鉴权方式可以包括外部鉴权方式或者内部鉴权方式。

示例性地，匿名域信息可用于指示能够对终端设备进行鉴权的鉴权设备所属的网络的标识。在匿名域信息包括多个域名的情况下，表示该SNPN网络支持与多个不同网络中的鉴权设备进行交互以对终端设备的鉴权。

示例性地，配置信息可以包括外部鉴权方式对应的一个或者多个网络的标识、和/或内部鉴权方式对应的一个或者多个网络的标识。例如，配置信息可以包括外部鉴权方式对应的一个或者多个网络的域名、和/或内部鉴权方式对应的一个或者多个网络的域名。

例如，域名的格式可以是全限定域名(fully qualified domain name，FQDN)，本申请对此不进行限定。

再例如，配置信息中的预埋的信息的格式可以是匿名SUCI中的realm相同的格式。

可选地，配置信息中还可以包括鉴权指示信息，鉴权指示信息与网络的标识对应。例如，每一个网络的标识对应一个鉴权指示信息。又例如，多个网络的标识对应一个鉴权指示信息，如一部分网络的标识对应指示外部鉴权方式的鉴权指示信息，另一部分网络的标识对应指示内部鉴权方式的鉴权指示信息。

一些实施例中，配置信息可以存储在终端设备的签约数据中，也可以存储与网络的标识(例如域名)对应的网络的签约数据中，或者单独存储在UDM中服务于所有匿名SUCI或匿名SUPI。

UDM可选地，配置信息可以是预配置在UDM的。

示例性地，鉴权指示信息可用于指示鉴权方式。

可选地，鉴权指示信息指示鉴权方式是内部鉴权的情况下，鉴权指示信息可指示鉴权方法，鉴权指示信息还可以携带鉴权需要使用的参数，比如鉴权要使用的证书。

例如，鉴权方法用于指示具体的某一种鉴权方法。比如，鉴权方法可以包括可扩展身份认证协议传输层安全(extensible authentication protocol-transport level security，EAP-TLS)鉴权方法、和EAP隧道传输层安全(EAP-tunneled transport layer security，EAP-TTLS)鉴权方法。

在一种可能的设计方式中，上述S402可以包括下述步骤一和/或步骤二。步骤一和步骤二可以单独使用，也可以结合使用，可以先执行步骤一，再执行步骤二，或者先执行步骤二，再执行步骤一，不限定步骤一和步骤二的先后顺序。

步骤一，在能够对终端设备进行鉴权的鉴权设备所属的网络的标识与外部鉴权方式对应的一个或者多个网络的标识匹配的情况下，确定对终端设备进行鉴权的鉴权方式是外部鉴权方式；或者，在能够对设备终端设备进行鉴权的设备鉴权设备所属的网络的标识与内部鉴权方式对应的一个或者多个网络的标识匹配的情况下，确定对终端设备进行鉴权的鉴权方式是内部鉴权方式。

例如，匹配指网络的标识相同、或者网络的标识之间存在映射关系。

示例性地，配置信息存储的网络标识#1可以是网络名称#1，匿名SUCI中的匿名域信息包括网络名称1和其他信息，则可以认为配置信息存储的网络标识#1与匿名域信息相匹配。其中，网络名称#1可以理解为鉴权设备所属的网络的标识。

示例性地，配置信息存储的网络标识#1可以是网络标识符#1，网络标识符可以为字符串，表示一个外部网络的名称。配置信息包括网络名称#1和其他信息，则UDM可以确定网络名称#1与网络标识符#1之间是否可以单向或者双向映射，比如，是否可以从网络名称#1中是得到网络标识符#1，如果可以得到，则可以认为网络名称#1与网络标识符#1是匹配的。其中，网络标识#1可以理解为鉴权设备所属的网络的标识。

示例性地，配置信息包括：网络标识1、网络标识2、和网络标识3对应外部鉴权方式，网络标识4、网络标识5、和网络标识6对应内部鉴权方式，若匿名域信息包括网络标识1，则确定对终端设备进行鉴权的鉴权方式是外部鉴权方式；若匿名域信息包括网络标识5，则确定对终端设备进行鉴权的鉴权方式是内部鉴权方式。

步骤二，UDM确定匿名域信息所指示的网络的标识与UDM所属的网络的标识是否相同。

若是，则确定对终端设备进行鉴权的鉴权方式是内部鉴权方式。

对于步骤一和步骤二结合使用的情况，以先执行步骤一再执行步骤二为例。例如，UDM执行步骤一，若能够确定出鉴权方式(例如内部鉴权、或外部鉴权)，可以不再执行步骤二；若未能够确定出鉴权方式(例如匿名域信息所指示的网络的标识与配置信息中的一个或多个网络的标识均不匹配)，则执行步骤二，若步骤二为是，则确定鉴权方式为内部鉴权，可以进一步确定鉴权方法。需要说明的是，当采用步骤一确定出鉴权方式后，仍可以执行步骤二，本申请对此不进行限定。

再例如，若匿名域信息所指示的网络的标识与配置信息中的一个或多个网络的标识均不匹配，且匿名域信息所指示的网络的标识与UDM所属的网络的标识不相同，则UDM终止鉴权流程。UDM可不处理该消息或者向AUSF发送失败消息，例如失败消息可指示注册失败。本申请实施例不做具体限制。终止鉴权流程表示该匿名化SUCI无权接入网络。

需要说明的是，先执行步骤二再执行步骤一的示例与上述先执行步骤一再执行步骤二的示例类似，可参照先执行步骤一再执行步骤二的示例，此处不再详细赘述。

一种可能的实现方式为：先执行步骤一，UDM确定匿名域信息所指示的网络的标识与UDM所属的网络的标识是否相同。若是，则确定对终端设备进行鉴权的鉴权方式是内部鉴权方式。比如，在能够对设备终端设备进行鉴权的设备鉴权设备所属的网络的标识与内部鉴权方式对应的一个或者多个网络的标识匹配的情况下，确定对终端设备进行鉴权的鉴权方式是内部鉴权方式。如不是，则再执行步骤二：在能够对终端设备进行鉴权的鉴权设备所属的网络的标识与外部鉴权方式对应的一个或者多个网络的标识匹配的情况下，确定对终端设备进行鉴权的鉴权方式是外部鉴权方式。

在一种可能的设计方式中，UDM可以根据签约隐藏标识确定对终端设备进行鉴权的方式。例如，在UDM收到的签约隐藏标识是匿名的情况下，UDM则确定用外部鉴权方式对终端设备进行鉴权。在UDM收到的签约隐藏标识是真实的情况下，UDM则确定用内部鉴权方式对终端设备进行鉴权。

S403，UDM向AUSF发送鉴权获取响应消息。相应地，AUSF接收来自UDM的鉴权获取响应消息。

示例性地，鉴权获取响应消息可以包括用于指示鉴权方式是内部鉴权还是外部鉴权的鉴权指示信息。关于鉴权指示信息的实现方式可参照上述S402，此处不再赘述。

也就是说，UDM可以向AUSF发送具体的鉴权方式，例如通过外部鉴权方式进行鉴权，或通过内部鉴权方式进行鉴权，还可以发送鉴权使用的证书信息等，或者还可以发送具体的鉴权方法，例如EAP-TLS鉴权方法、EAP-TTLS鉴权方法等。如此，AUSF可以获得鉴权方式，还可以进一步获得具体的鉴权方法和/或鉴权需要使用的参数。

在一种可能的设计方式中，鉴权获取响应消息还可以包括匿名签约永久标识。

可选地，匿名签约永久标识可以是UDM根据匿名签约隐藏标识确定的，匿名签约永久标识可以包括匿名域信息。

需要说明的是，本申请实施例不限定UDM确定匿名签约永久标识与UDM确定鉴权指示信息先后顺序。例如，可以先确定鉴权指示信息，在鉴权指示信息指示对终端设备进行鉴权的鉴权方式是外部鉴权方式的情况下，再确定匿名签约永久标识。又例如，可以先确定匿名签约永久标识，再确定鉴权指示信息。

比如，可选地，根据匿名签约永久标识对应的签约数据确定鉴权指示信息。需要说明的是，在这种情况下，匿名签约永久标识对应的签约数据可以是以外部鉴权设备所属网络为粒度的签约数据。即，使网络的所有匿名签约永久标识在这一时刻使用相同的签约数据。

例如，匿名签约永久标识的域信息与匿名签约隐藏标识的域信息相同，例如均为匿名域信息。

在一些实施例中，匿名签约永久标识还可以包括匿名用户名信息，匿名用户名信息包括如下一项或多项：RID信息、功能信息、和计数器值、缺省值。

可选地，RID信息可以与匿名签约隐藏标识的RID信息相同。

可选地，第一功能信息可用于指示匿名签约永久标识的使用场景。

需要说明的是，匿名签约永久标识具体实现方式可参照上述对匿名SUPI的阐述，此处不再赘述。

S404，AUSF根据鉴权指示信息，向NSSAAF发送认证请求消息。相应地，NSSAAF接收来自AUSF的认证请求消息。

示例性地，认证请求消息可以用于请求对终端设备进行鉴权。

可选地，在鉴权指示信息指示鉴权方式是外部鉴权的情况下，向NSSAAF发送认证请求消息,触发NSSAAF向第一设备请求对终端设备进行鉴权；在鉴权指示信息指示鉴权方式是内部鉴权的情况下，向AMF发送认证请求消息,指示AMF对终端设备进行内部鉴权。

在一些实施例中，认证请求消息可以包括匿名签约永久标识。从而，外部鉴权设备可以通过匿名签约永久标识对终端设备进行鉴权。

在一种可能的设计方式中，上述S404可以包括下述步骤三和步骤四。

步骤三，在鉴权指示信息指示鉴权方式是外部鉴权的情况下，AUSF向NSSAAF发送认证请求消息。

也就是说，在确定采用外部鉴权的情况下，向NSSAAF发送消息，以请求对终端设备进行鉴权。

步骤四，在鉴权指示信息指示鉴权方式是内部鉴权的情况下，AUSF向AMF发送认证请求消息。

也就是说，在确定采用内部鉴权的情况下，向AMF发送消息，以开始进行外部鉴权。

需要说明的是，本申请中“步骤一”与“步骤二”等类似的描述，并不表示执行的先后顺序。

在一种可能的设计方式中，本申请实施例提供的通信方法，还可以包括：S408，NSSAAF向外部鉴权设备发送协议请求消息。相应地，外部鉴权设备接收来自NSSAAF的协议请求消息。

可选地，协议请求消息可以包括匿名签约永久标识、或者包括匿名域信息且不包括匿名签约永久标识中除匿名域信息以外的信息。

可选地，NSSAAF可以根据匿名签约永久标识的匿名域信息，从一个或多个外部鉴权设备中选择一个外部鉴权设备，并向该外部鉴权设备发送协议请求消息。

示例性地，匿名域信息指示能够对终端设备进行鉴权的鉴权设备所属的网络的标识，例如，匿名域信息指示网络标识4，则NSSAAF选择一个网络标识4对应的网络的外部鉴权设备，并向其发送协议请求消息，请求对终端设备进行鉴权。

在一种可能的设计方式中，本申请实施例提供的通信方法，还可以包括：S409，外部鉴权设备与终端设备进行鉴权流程，或AUSF对终端设备进行鉴权流程。

也就是说，S409是对终端设备进行鉴权的过程，本申请对此不进行具体阐述。

可选地，终端设备与外部鉴权服务器执行鉴权流程，并生成根密钥(master key，MSK)。

基于图4所示的通信方法，UDM接收包括匿名域信息的匿名签约隐藏标识，该匿名域信息用于指示能够对终端设备进行鉴权的鉴权设备所属的网络的标识，根据匿名域信息和配置信息确定鉴权指示信息，该鉴权指示信息用于指示鉴权的方式，配置信息包括外部鉴权方式对应的一个或者多个网络的标识、和/或内部鉴权方式对应的一个或者多个网络的标识，如此，可以成功确定对终端设备进行鉴权的方式。

图5为本申请实施例提供的另一种通信方法的流程示意图。图5可以与图4结合使用，在步骤S409外部鉴权设备与终端设备之间鉴权成功后可执行图5所示的通信方法。

如图5所示，该通信方法包括如下步骤：

S501，NSSAAF向AUSF发送认证响应消息。相应地，AUSF接收来自NSSAAF的认证响应消息。

可选地，认证响应消息可以包括真实签约永久标识、鉴权成功消息和/或根密钥MSK。

示例性地，真实签约永久标识是外部鉴权设备进行鉴权的过程中所使用的信任状对应的身份信息。

一些实施例中，真实签约永久标识可以包括真实域信息、和真实用户名信息。关于真实签约永久标识的具体实现方式可参照上述真实SUPI的实现方式，此处不再详细赘述。

可选地，真实域信息可用于指示外部鉴权设备进行鉴权的过程中所使用的信任状所属的网络的域名。可选地，真实用户名信息用于标识终端设备例如真实用户名信息可用于指示终端设备的唯一身份。

也就是说，外部鉴权设备使用真实签约永久标识对终端设备进行鉴权，认为真实签约永久标识是终端设备的真实的SUPI。

示例性地，鉴权成功消息可用于指示对终端设备鉴权成功。例如指示在上述S409中鉴权成功。

示例性地，根密钥MSK是外部鉴权设备与终端设备鉴权过程中生成的密钥，其申请方法会因为不同的鉴权方法而不同，本申请实施例不限定其生成方法。

在一种可能的设计方式中，本申请实施例提供的通信方法，还可以包括：S512，外部鉴权设备向NSSAAF发送协议响应消息。相应地，NSSAAF接收来自外部鉴权设备的协议响应消息。

可选地，协议响应消息可以包括真实签约永久标识，还可以包括鉴权成功消息、和/或根密钥MSK。

也就是说，真实签约永久标识、鉴权成功消息、和/或根密钥MSK可以是外部鉴权设备通过NSSAAF向AUSF发送的。

S502，AUSF响应于鉴权成功消息，根据根密钥、真实签约永久标识和网络侧计数器值，生成网络侧第一验证信息。

在一种可能的设计方式中，上述S502可以包括下述步骤五至步骤六。

步骤五，AUSF根据根密钥，生成中间密钥Kausf。

关于根密钥MSK的具体实现方式可参照上述S501，此处不再赘述。

步骤六，AUSF根据中间密钥Kausf以及真实签约永久标识，生成网络侧第一验证信息。

示例性地，AUSF可以根据中间密钥Kausf、功能信息、真实签约永久标识、网络侧计数器值中的至少两个，确定网络侧第一验证信息。

可选地，功能信息用于指示真实签约永久标识的使用场景，例如，应用于SNPN网络、SUPI鉴权(authentication)等。功能信息可以是字符串。

可选地，网络侧计数器值为大于或等于0的整数，网络侧计数器值的初始值可以为0。例如，AUSF本地可以维护一个计数器，网络侧计数器值为AUSF本地维护的计数器当前存储的数值，每计算一次网络侧第一验证信息，计数器的值加1。又例如，网络侧计数器值可以为一个随机数。

示例性地，可以通过下述公式(1)计算确定的网络侧第一验证信息。

SNPN_MACI_AUSF＝KDF(Kausf_1，第一输入参数，第二输入参数)(1)

上述公式(1)中，第一输入参数为真实签约永久标识。第二输入参数是可选的，第二输入参数可以为一个或多个输入参数。比如，第二输入参数为功能信息和/或网络侧计数器值。

上述公式(1)中，SNPN_MACI_AUSF为网络侧第一验证信息，例如为MAC值，表示AUSF在SNPN网络场景下计算的MAC值。Kausf_1为中间密钥Kausf。KDF()表示密钥派生函数(key derivation function，KDF)。

S503，AUSF向AMF发送鉴权认证响应消息。相应地，AMF接收来自AUSF的鉴权认证响应消息。

可选地，鉴权认证响应消息可以包括网络侧第一验证信息、鉴权成功消息、网络侧计数器值、和/或中间密钥Kseaf。

示例性地，在执行了上述S502获得网络侧第一验证信息、鉴权成功消息和/或网络侧计数器值的情况下，AUSF可以将网络侧第一验证信息、鉴权成功消息和/或网络侧计数器值发给AMF，以通过AMF发给终端设备。中间密钥Kseaf可以是AUSF生成的。

可选地，AUSF可以根据根密钥，生成中间密钥Kausf，根据中间密钥Kausf生成中间密钥Kseaf。

S504，AMF向终端设备发送NAS SMC消息。相应地，终端设备接收来自AMF 的NAS SMC消息。

可选地，NAS SMC消息可以包括网络侧第一验证信息、鉴权成功消息、和/或网络侧计数器值。

S505，终端设备判断终端侧第一验证信息与网络侧第一验证信息是否一致。

若网络侧第一验证信息与终端侧第一验证信息相同，则终端设备确定真实签约永久标识与真实签约永久标识相同，外部鉴权设备进行鉴权的过程中所使用的信任状对应的身份信息与终端设备侧的信任状对应的身份信息相同，终端设备确定AUSF是真实的，否则，真实签约永久标识与真实签约永久标识不相同，终端设备确定AUSF是虚假的，外部鉴权设备在鉴权过程中采用的真实签约永久标识不是终端设备的真实的SUPI。其中，AUSF是真实的或者是虚假的等同于终端设备认为所接入的网络是真实的或者是虚假的。

在一种可能的设计方式，本申请实施例提供的通信方法还可以包括：终端设备响应于鉴权成功消息，根据根密钥、真实签约永久标识和网络侧计数器值，生成终端侧第一验证信息。

一些实施例中，上述终端设备根据根密钥、真实签约永久标识和网络侧计数器值，生成终端侧第一验证信息，可以包括下述步骤七至步骤八。

步骤七，终端设备根据根密钥，生成中间密钥Kausf。

可选地，根密钥可以是终端设备在上述S409中的鉴权流程中生成的。

步骤八，终端设备根据中间密钥Kausf、真实签约永久标识和网络侧计数器值，生成终端侧第一验证信息。

一些实施例中，终端侧第一验证信息可以是终端设备根据中间密钥、功能信息、真实签约永久标识、网络侧计数器值中的至少两个确定的。

可选地，中间密钥Kausf可以是根据根密钥MSK生成的。

一些实施例中，真实签约永久标识可以包括真实域信息和真实用户名信息，真实用户名信息用于标识终端设备。关于真实签约永久标识的具体实现方式可参照上述真实SUPI的实现方式，此处不再详细赘述。

可选地，网络侧计数器值的实现方式可参照上述S502，此处不再赘述。

示例性地，可以通过公式(1)计算确定的终端侧第一验证信息，其中，终端侧第一验证信息用XSNPN_MACI_AUSF表示，可以为MAC值，表示终端设备在SNPN网络场景下期望的MAC值。其中，第一输入参数为真实签约永久标识。

需要说明的是，在认证响应消息包括真实签约永久标识的情况下，图5所示的通信方法可以包括上述S502至S505。AUSF可以通过AMF向终端设备发送网络侧第一验证信息和网络侧计数器值，终端设备可以确定网络侧第一验证信息与终端侧第一验证信息是否相同。

在认证响应消息包括鉴权成功消息的情况下，图5所示的通信方法可以包括上述S503至S504。此时，AUSF可以通过AMF向终端设备发送鉴权成功消息，终端设备可以根据鉴权成功消息获得AUSF是真实的，并继续执行下述S506。可以不执行AUSF 生成网络侧第一验证信息、以及终端设备生成终端侧第一验证信息并比较是否一致的步骤。

也就是说，终端设备可以通过网络侧第一验证信息与终端侧第一验证信息确定AUSF是否是真实的，或者，可以通过是否鉴成功来确定AUSF是否是真实的，若鉴权成功，则AUSF是真实的，若鉴权失败，则AUSF不是真实的。

S506，终端设备AMF发送N1消息。相应地，AMF接收来自终端设备的N1消息。

可选地，N1消息可以包括终端侧第二验证信息和/或终端侧计数器值。

在一种可能的设计方式中，本申请实施例提供的通信方法，还可以包括：终端设备根据根密钥、真实签约永久标识和终端侧计数器值，生成终端侧第二验证信息。

可选地，终端侧计数器值与生成终端侧的第一验证信息的网络侧的计数器值可以不相等。

例如，在终端侧第一验证信息与网络侧第一验证信息一致的情况下，终端设备根据根密钥以及真实签约永久标识，生成终端侧第二验证信息。对应终端设备通过网络侧第一验证信息与终端侧第一验证信息确定AUSF是否是真实的。

又例如，在接收到鉴权成功消息的情况下，终端设备根据根密钥、真实签约永久标识和终端侧计数器值，生成终端侧第二验证信息。对应终端设备通过是否鉴权成功确定AUSF是否是真实的。

示例性地，上述终端设备根据根密钥、真实签约永久标识和终端侧计数器值，生成终端侧第二验证信息，可以包括：终端设备根据根密钥，生成中间密钥Kausf，根据中间密钥Kausf、真实签约永久标识和终端侧计数器值，生成终端侧第二验证信息。

一些实施例中，终端侧第二验证信息可以是终端设备根据中间密钥、功能信息、真实签约永久标识、和终端侧计数器值中的至少两个确定的。

需要说明的是，中间密钥、功能信息、和真实签约永久标识的实现方式可参照上述S505，此处不再赘述。

示例性地，终端侧计数器值为大于或等于0的整数，终端侧计数器值的初始值可以为0。例如，终端设备本地可以维护一个计数器，终端侧计数器值为终端设备本地维护的计数器当前存储的数值，每计算一次终端侧第二验证信息，计数器的值加1。又例如，终端侧计数器值可以为一个随机数。

示例性地，可以通过公式(1)计算确定的终端侧第二验证信息。终端侧第二验证信息可以用SNPN_MACI_UE表示，可以为MAC值，SNPN_MACI_UE表示终端设备在SNPN网络场景下计算的MAC值。其中，第一输入参数为真实签约永久标识。在终端设备收到网络侧第一验证信息的情况下，功能信息可以包括对收到网络侧第一验证信息的确认或响应。

S507，AMF向AUSF发送鉴权认证中间消息。相应地，AUSF接收来自AMF的鉴权认证中间消息。

可选地，鉴权认证中间消息可以包括终端侧第二验证信息和/或终端侧计数器值。

S508，AUSF判断终端侧第二验证信息与网络侧第二验证信息是否一致。

若终端侧第二验证信息与网络侧第二验证信息相同，则AUSF确定真实签约永久标识与真实签约永久标识相同，外部鉴权设备进行鉴权的过程中所使用的信任状对应的身份信息与终端设备侧的信任状对应的身份信息相同，AUSF确定终端设备是真实的；否则，真实签约永久标识与真实签约永久标识不相同，AUSF确定终端设备是虚假的。

在一种可能的设计方式中，本申请实施例提供的通信方法，还可以包括：AUSF根据根密钥、真实签约永久标识和终端侧计数器值，生成网络侧第二验证信息。

示例性地，上述AUSF根据根密钥、真实签约永久标识和终端侧计数器值，生成网络侧第二验证信息可以包括：AUSF根据根密钥，生成中间密钥Kausf，根据中间密钥Kausf、真实签约永久标识和终端侧计数器值，生成网络侧第二验证信息。

一些实施例中，网络侧第二验证信息可以是AUSF根据中间密钥Kausf、功能信息、真实签约永久标识、和终端侧计数器值中的至少两个确定的。

需要说明的是，中间密钥Kausf、功能信息的实现方式可参照上述S502，终端侧计数器值的实现方式可参照上述S506，此处不再赘述。

示例性地，可以通过公式(1)计算网络侧第二验证信息。网络侧第二验证信息可以用XSNPN_MACI_UE表示，XSNPN_MACI_UE表示AUSF在SNPN网络场景下期望的MAC值。其中，第一输入参数为真实签约永久标识。在终端设备收到网络侧第一验证信息的情况下，功能信息可以包括对收到网络侧第一验证信息的确认或响应。

如此，可以完成终端设备与网络侧的双向认证，终端设备认为网络是真实的，网络认为终端设备是真实的。

S509，在终端侧第二验证信息与网络侧第二验证信息一致的情况下，AUSF向UDM发送鉴权结果确认请求消息。相应地，UDM接收来自AUSF的鉴权结果确认请求消息。

可选地，鉴权结果确认请求消息可以包括真实签约永久标识、鉴权结果指示信息、和/或匿名签约永久标识。鉴权结果指示信息指示终端设备鉴权成功，鉴权结果指示信息用于指示主鉴权流程成功。相应地，UDM会根据该指示信息，记录终端设备鉴权成功。

S510，UDM保存真实签约永久标识和鉴权结果指示信息。

可选地，UDM可以保存真实签约永久标识、鉴权结果指示信息、和/或匿名签约永久标识。

示例性地，UDM生成匿名签约永久标识(参照上述S403)后，可以为该匿名签约永久标识建立一个表项，以记录其后续是否鉴权成功。从而，UDM接收到真实签约永久标识后，可以将真实签约永久标识直接存储入这个表项、或将匿名签约永久标识替换为真实签约永久标识、将真实签约永久标识直接存储入这个表项并将匿名签约永久标识删除。

或者，UDM并未对匿名签约永久标识建立表项，收到鉴权结果确认请求消息后，建立表项，可以包括真实签约永久标识，可选地，还可以包括匿名签约永久标识。

一些实施例中，UDM可以向外部网络请求匿名签约永久标识对应的签约数据，供UDM所在的网络使用，或者，UDM可以使用外部网络公用的签约数据作为该匿名签约永久标识对应的签约数据。

S511，UDM向AUSF发送鉴权结果确认响应消息。相应地，AUSF接收来自UDM 的鉴权结果确认响应消息。

基于图5所示的通信方法，通过确认终端设备侧的验证信息与网络侧的验证信息是否相同，来确定用于进行鉴权的真实签约永久标识与真实签约永久标识是否相同，如此，可以完成终端设备与网络侧的双向认证，终端设备认为网络是真实的，网络认为终端设备是真实的。

图6为本申请实施例提供的又一种通信方法的流程示意图。图6可以与图4结合使用，在步骤S409外部鉴权设备与终端设备之间鉴权成功后可执行图6所示的通信方法。

如图6所示，该通信方法包括如下步骤：

S601，NSSAAF向AUSF发送认证响应消息。相应地，AUSF接收来自NSSAAF的认证响应消息。

关于S601、以及认证响应消息的具体实现方式可参照上述S501，此处不再赘述。

在一种可能的设计方式中，本申请实施例提供的通信方法，还可以包括：S610，外部鉴权设备向NSSAAF发送协议响应消息。相应地，NSSAAF接收来自外部鉴权设备的协议响应消息。

关于S610、以及协议响应消息的具体实现方式可参照上述S511，此处不再赘述。

S602，可选地，AUSF判断匿名域信息与真实域信息是否匹配。

示例性地，匿名域信息为匿名签约永久标识中的域信息，真实域信息为真实签约永久标识中的域信息，AUSF可以根据真实签约永久标识中的域信息与匿名签约永久标识中的域信息是否匹配，来确定用于鉴权的真实签约永久标识与终端设备是否属于同一网络。如此，可以避免外部鉴权设备进行鉴权的真实签约永久标识不属于匿名签约永久标识对应的网络。

例如，若匿名域信息与真实域信息匹配，则用于鉴权的真实签约永久标识的真实域信息与匿名域信息是相同网络的。可以保存真实签约永久标识。若匿名域信息与真实域信息不匹配，则真实签约永久标识与终端设备不属于同一网络，外部鉴权设备对终端设备鉴权失败。

可选地，匿名域信息可以是从匿名签约永久标识中获取的，匿名签约永久标识可以是通过上述S403中鉴权获取响应消息接收的。

可选地，真实域信息可以是从真实签约永久标识中获取的，或者，认证响应消息中包括真实域信息。

在一种可能的设计方式中，判断匿名域信息与真实域信息是否匹配这一动作可以由NSSAAF(例如NSSAAF网元)执行，例如S603，NSSAAF判断匿名域信息与真实域信息是否匹配。需要说明的是，关于S603的具体实现方式与上述S602类似，将AUSF替换为NSSAAF即可。

可选地，NSSAAF可以将匿名域信息与真实域信息是否匹配的结果发给AUSF，例如通过认证响应消息发送，该认证响应消息可以包括鉴权结果指示信息，鉴权结果指示信息指示终端设备鉴权成功。

S604，在所述真实域信息与所述匿名域信息匹配的情况下，AUSF向UDM发送鉴权结果确认请求消息。相应地，UDM接收来自AUSF的鉴权结果确认请求消息。

关于S604、以及鉴权结果确认请求消息的具体实现方式可参照上述S509，此处不再赘述。

S605，UDM保存真实签约永久标识和鉴权结果指示信息。

关于S605的具体实现方式可参照上述S510，此处不再赘述。

S606，UDM向AUSF发送鉴权结果确认响应消息。相应地，AUSF接收来自UDM的鉴权结果确认响应消息。

关于S606的具体实现方式可参照上述S511，此处不再赘述。S607，AUSF根据根密钥以及真实签约永久标识，生成中间密钥Kausf。

在步骤S602执行的情况下，AUSF可以只使用真实签约永久标识中的用户身份信息部分生成中间密钥Kausf。真实签约永久标识中的用户身份信息可以是username部分，也可以是IMSI。本申请实施例不做限定。在步骤S602没有执行的情况下，该真实签约永久标识为SUPI的值。即包括username和realm。

可选地，中间密钥Kausf可用于密钥推演。比如推演Kseaf。

示例性地，AUSF可以根据真实签约永久标识和根密钥确定中间密钥Kausf，并将第一密钥Kausf作为根密钥推演密钥Kseaf。

S608，AUSF向AMF发送鉴权认证响应消息。相应地，AMF接收来自AUSF的鉴权认证响应消息。

可选地，鉴权认证响应消息可以包括如下一项或多项：鉴权成功消息、真实签约永久标识、和/或中间密钥Kseaf。

S609，AMF向终端设备发送NAS SMC消息。相应地，终端设备接收来自AMF的NAS SMC消息。

可选地，NAS SMC消息可以包括如下一项或多项：鉴权成功消息。

等，可参照上述S302，此处不再赘述。

基于图6所示的通信方法，AUSF根据匿名域信息和真实域信息，确定外部鉴权设备进行鉴权的过程中所使用的真实签约永久标识与终端设备侧的真实签约永久标识是否相同，若相同，则可以完成终端设备与网络侧的双向认证，终端设备认为网络是真实的，网络认为终端设备是真实的。

图7为本申请实施例提供的又一种通信方法的流程示意图。图7可以与图4结合使用，在步骤S409外部鉴权设备与终端设备之间鉴权成功后可执行图7所示的通信方法。

如图7所示，该通信方法包括如下步骤：

S701，NSSAAF向AUSF发送认证响应消息。相应地，AUSF接收来自NSSAAF的认证响应消息。

关于S701、以及认证响应消息的具体实现方式可参照上述S501，此处不再赘述。

在一种可能的设计方式中，本申请实施例提供的通信方法，还可以包括：S712，外部鉴权设备向NSSAAF发送协议响应消息。相应地，NSSAAF接收来自外部鉴权设备的协议响应消息。

关于S712、以及协议响应消息的具体实现方式可参照上述S511，此处不再赘述。

S702，AUSF根据根密钥，生成中间密钥Kausf。

可选地，AUSF可以根密钥确定中间密钥Kausf，并将中间密钥Kausf作为根密钥推演中间密钥Kseaf。

需要说明的是，S702中确定中间密钥Kausf的方法与S604中确定中间密钥Kausf的方法不同，S604中根据真实签约永久标识和根密钥确定中间密钥Kausf。

S703，AUSF向AMF发送鉴权认证响应消息。相应地，AMF接收来自AUSF的鉴权认证响应消息。

可选地，鉴权认证响应消息可以包括如下一项或多项：鉴权成功消息、中间密钥Kseaf、和/或真实签约永久标识。

S704，AMF向终端设备发送NAS SMC消息。相应地，终端设备接收来自AMF的NAS SMC消息。

可选地，NAS SMC消息可以包括如下一项或多项：鉴权成功消息。鉴权成功消息用于指示对终端设备鉴权成功。

可选地，NAS SMC消息可参照上述S302，此处不再赘述。

S705，终端设备响应于鉴权成功消息，根据根密钥，生成中间密钥Kausf，根据中间密钥Kausf生成中间密钥Kseaf。

S706，终端设备与AMF进行NAS SMC流程。

终端设备与AMF采用中间密钥Kseaf、侧真实签约永久标识、真实签约永久标识、和中间密钥Kseaf，执行NAS SMC流程。

关于S706的具体实现方式可参照上述图3所示的方法，此处不再赘述。

S707，在与所述终端设备成功执行NAS SMC流程的情况下，AMF向所述AUSF发送鉴权认证结果消息。相应地，AUSF接收来自AMF的鉴权认证结果消息。

可选地，鉴权认证结果消息可以包括鉴权结果指示信息，鉴权结果指示信息包括指示对终端设备鉴权成功的信息，例如可指示真实签约用户永久标识与真实签约用户永久标识相同。

可选地，鉴权认证结果消息本身就可以告知AUSF与终端设备交互的NAS SMC流程成功。

参照上述图3中的阐述，NAS SMC流程成功，可得出用于进行鉴权的真实签约永久标识与终端设备的真实签约永久标识相同。如此，可以完成终端设备与网络侧的双向认证，终端设备认为网络是真实的，网络认为终端设备是真实的。

可选地，鉴权结果指示信息可用于指示外部鉴权设备进行鉴权的过程中所使用的真实签约永久标识与终端设备侧的真实签约永久标识相同。

S708，AUSF向AMF发送鉴权认证结果响应消息。相应地，AMF接收来自AUSF的鉴权认证结果响应消息。

S709，AUSF向UDM发送鉴权结果确认请求消息。相应地，UDM接收来自AUSF的鉴权结果确认请求消息。

关于S709、以及鉴权结果确认请求消息的具体实现方式可参照上述S509，此处不再赘述。

需要说明的是，本申请对S708与S709执行的先后顺序不进行限定。

S710，UDM保存真实签约永久标识和鉴权结果指示信息。

关于S710的具体实现方式可参照上述S510，此处不再赘述。

S711，UDM向AUSF发送鉴权结果确认响应消息。相应地，AUSF接收来自UDM的鉴权结果确认响应消息。

关于S711的具体实现方式可参照上述S511，此处不再赘述。

需要说明的是，上述S709至S711可以在上述S701之后执行，或者，上述S709至S711可以在上述S708之后执行，用于在对真实SUPI的鉴权成功的情况下，再让UDM记录，避免在鉴权失败的情况下，还需要通知UDM删除鉴权记录的额外的信令开销。本申请对此不进行限定。

基于图7所示的通信方法，在鉴权流程后执行NAS SMC流程，NAS SMC流程成功，可得出用于鉴权的真实签约永久标识与终端设备的真实签约永久标识相同，从而外部鉴权设备进行鉴权的过程中所使用的信任状对应的身份信息与终端设备侧的信任状对应的身份信息相同。如此，可以完成终端设备与网络侧的双向认证，终端设备认为网络是真实的，网络认为终端设备是真实的。

本申请中，除特殊说明外，各个实施例之间相同或相似的部分可以互相参考。在本申请中各个实施例、以及各实施例中的各个实施方式/实施方法/实现方法中，如果没有特殊说明以及逻辑冲突，不同的实施例之间、以及各实施例中的各个实施方式/实施方法/实现方法之间的术语和/或描述具有一致性、且可以相互引用，不同的实施例、以及各实施例中的各个实施方式/实施方法/实现方法中的技术特征根据其内在的逻辑关系可以组合形成新的实施例、实施方式、实施方法、或实现方法。以下所述的本申请实施方式并不构成对本申请保护范围的限定。

以上结合图1-图7详细说明了本申请实施例提供的通信方法。以下结合图8-图10详细说明本申请实施例提供的通信装置。

图8为可用于执行本申请实施例提供的通信方法的一种通信装置的结构示意图。通信装置800可以是接入和移动性管理功能、或鉴权服务器功能、或统一数据管理、或网络切片和独立非公共网络特定的鉴权和授权功能、或终端设备、或外部鉴权设备，也可以是应用于接入和移动性管理功能、或鉴权服务器功能、或统一数据管理、或网络切片和独立非公共网络特定的鉴权和授权功能、或终端设备、或外部鉴权设备中的芯片或者其他具有相应功能的部件。如图8所示，通信装置800可以包括处理器801。可选地，通信装置800还可以包括存储器802和收发器803中的一个或多个。其中，处理器801可以与存储器802和收发器803中的一个或多个耦合，如可以通过通信总线连接，处理器801也可以单独使用。

下面结合图8对通信装置800的各个构成部件进行具体的介绍：

处理器801是通信装置800的控制中心，可以是一个处理器，也可以是多个处理元件的统称。例如，处理器801是一个或多个中央处理器(central processing unit，CPU)，也可以是特定集成电路(application specific integrated circuit，ASIC)，或者是被配置成实施本申请实施例的一个或多个集成电路，例如：一个或多个微处理器(digital signal processor，DSP)，或，一个或者多个现场可编程门阵列(field programmable gate array，FPGA)。

其中，处理器801可以通过运行或执行存储在存储器802内的软件程序，以及调用存储在存储器802内的数据，执行通信装置800的各种功能。

在具体的实现中，作为一种实施例，处理器801可以包括一个或多个CPU，例如图8中所示的CPU0和CPU1。

在具体实现中，作为一种实施例，通信装置800也可以包括多个处理器，例如图8中所示的处理器801和处理器804。这些处理器中的每一个可以是一个单核处理器(single-CPU)，也可以是一个多核处理器(multi-CPU)。这里的处理器可以指一个或多个通信设备、电路、和/或用于处理数据(例如计算机程序指令)的处理核。

可选地，存储器802可以是只读存储器(read-only memory，ROM)或可存储静态信息和指令的其他类型的静态存储通信设备，随机存取存储器(random access memory，RAM)或者可存储信息和指令的其他类型的动态存储通信设备，也可以是电可擦可编程只读存储器(electrically erasable programmable read-only memory，EEPROM)、只读光盘(compact disc read-only memory，CD-ROM)或其他光盘存储、光碟存储(包括压缩光碟、激光碟、光碟、数字通用光碟、蓝光光碟等)、磁盘存储介质或者其他磁存储通信设备、或者能够用于携带或存储具有指令或数据结构形式的期望的程序代码并能够由计算机存取的任何其他介质，但不限于此。存储器802可以和处理器801集成在一起，也可以独立存在，并通过通信装置800的输入/输出端口(图8中未示出)与处理器801耦合，本申请实施例对此不作具体限定。

示例性地，输入端口可用于实现上述任一方法实施例中接入和移动性管理功能、或鉴权服务器功能、或统一数据管理、或网络切片和独立非公共网络特定的鉴权和授权功能、或终端设备、或外部鉴权设备执行的接收功能，输出端口可用于实现上述任一方法实施例中由接入和移动性管理功能、或鉴权服务器功能、或统一数据管理、或网络切片和独立非公共网络特定的鉴权和授权功能、或终端设备、或外部鉴权设备执行的发送功能。

其中，所述存储器802可用于存储执行本申请方案的软件程序，并由处理器801来控制执行。上述具体实现方式可以参考下述方法实施例，此处不再赘述。

可选地，收发器803，用于与其他通信装置之间的通信。例如，通信装置800为统一数据管理时，收发器803可以用于与鉴权服务器功能、和/或其他网元通信。又例如，通信装置800为鉴权服务器功能时，收发器803可以用于与自网络切片和独立非公共网络特定的鉴权和授权功能、接入和移动性管理功能、统一数据管理、和/或其他网元通信。又例如，通信装置800为终端设备时，收发器803可以用于与接入和移动性管理功能、和/或其他网元通信。又例如，通信装置800为接入和移动性管理功能时，收发器803可以用于与终端设备、鉴权服务器功能、和/或其他网元通信。又例如，通信装置800为网络切片和独立非公共网络特定的鉴权和授权功能时，收发器803可以用于与鉴权服务器功能、外部鉴权设备和/或其他网元通信。又例如，通信装置800为外部鉴权设备时，收发器803可以用于与鉴权服务器功能、外部鉴权设备和/或其他网元通信。此外，收发器803可以包括接收器和发送器(图8中未单独示出)。其中，接收器用于实现接收功能，发送器用于实现发送功能。收发器803可以和处理器801集成在一起，也可以独立存在，并通过通信装置800的输入/输出端口(图8中未示出)与处理器801耦合，本申请实施例对此不作具体限定。

需要说明的是，图8中示出的通信装置800的结构并不构成对该通信装置的限定，实际的通信装置可以包括比图示更多或更少的部件，或者组合某些部件，或者不同的部件布置。

上述图1-图7中统一数据管理的动作可以由图8所示的通信装置800中的处理器801调用存储器802中存储的应用程序代码以指令统一数据管理执行，本实施例对此不作任何限制。

上述图1-图7中鉴权服务器功能的动作可以由图8所示的通信装置800中的处理器801调用存储器802中存储的应用程序代码以指令鉴权服务器功能执行，本实施例对此不作任何限制。

上述图1-图7中终端设备的动作可以由图8所示的通信装置800中的处理器801调用存储器802中存储的应用程序代码以指令终端设备执行，本实施例对此不作任何限制。

上述图1-图7中接入和移动性管理功能的动作可以由图8所示的通信装置800中的处理器801调用存储器802中存储的应用程序代码以指令接入和移动性管理功能执行，本实施例对此不作任何限制。

上述图1-图7中网络切片和独立非公共网络特定的鉴权和授权功能的动作可以由图8所示的通信装置800中的处理器801调用存储器802中存储的应用程序代码以指令网络切片和独立非公共网络特定的鉴权和授权功能执行，本实施例对此不作任何限制。

上述图1-图7中外部鉴权设备的动作可以由图8所示的通信装置800中的处理器801调用存储器802中存储的应用程序代码以指令外部鉴权设备执行，本实施例对此不作任何限制。

通信装置800可执行上述方法实施例中的接入和移动性管理功能、或鉴权服务器功能、或统一数据管理、或网络切片和独立非公共网络特定的鉴权和授权功能、或终端设备、或外部鉴权设备所涉及的任一种或多种可能的设计方式。

需要说明的是，上述方法实施例涉及的各步骤的所有相关内容均可以援引到对应功能模块的功能描述，在此不再赘述。

图9为本申请实施例提供的另一种通信装置的结构示意图。为了便于说明，图9仅示出了该通信装置的主要部件。

该通信装置900包括收发模块901、和处理模块902。该通信装置900可以是前述方法实施例中的鉴权服务器功能、或统一数据管理、或网络切片和独立非公共网络特定的鉴权和授权功能、或终端设备、或外部鉴权设备。收发模块901，也可以称为收发单元，用以实现上述任一方法实施例中由鉴权服务器功能、或统一数据管理、或网络切片和独立非公共网络特定的鉴权和授权功能、或终端设备、或外部鉴权设备执行的收发功能。

需要说明的是，收发模块901可以包括接收模块和发送模块(图9中未示出)。其中，接收模块用于接收来自其他设备的数据和/或信令；发送模块用于向其他设备发送数据和/或信令。本申请对于收发模块的具体实现方式，不做具体限定。该收发模块可以由收发电路、收发机、收发器或者通信接口构成。

处理模块902，可以用于实现上述任一方法实施例中由鉴权服务器功能、或统一数据管理、或网络切片和独立非公共网络特定的鉴权和授权功能、或终端设备、或外部鉴权设备执行的处理功能。该处理模块902可以为处理器。

在本实施例中，该通信装置900以采用集成的方式划分各个功能模块的形式来呈现。这里的“模块”可以指特定ASIC，电路，执行一个或多个软件或固件程序的处理器和存储器，集成逻辑电路，和/或其他可以提供上述功能的器件。在一个简单的实施例中，本领域的技术人员可以想到该通信装置900可以采用图8所示的通信装置800的形式。

比如，图8所示的通信装置800中的处理器801可以通过调用存储器802中存储的计算机执行指令，使得上述方法实施例中的通信方法被执行。

具体的，图9中的收发模块901和处理模块902的功能/实现过程可以通过图8所示的通信装置800中的处理器801调用存储器802中存储的计算机执行指令来实现。或者，图9中的处理模块902的功能/实现过程可以通过图8所示的通信装置800中的处理器801调用存储器802中存储的计算机执行指令来实现，图9中的收发模块901的功能/实现过程可以通过图8中所示的通信装置800中的收发器803来实现。

由于本实施例提供的通信装置900可执行上述通信方法，因此其所能获得的技术效果可参考上述方法实施例，在此不再赘述。

图10为本申请实施例提供的又一种通信装置的结构示意图。为了便于说明，图10仅示出了该通信装置的主要部件。

该通信装置1000包括发送模块1001和接收模块1002。该通信装置1000可以是前述方法实施例中的接入和移动性管理功能。发送模块1001，也可以称为发送单元，用以实现上述任一方法实施例中由接入和移动性管理功能执行的发送功能。接收模块1001，也可以称为接收单元，用以实现上述任一方法实施例中由接入和移动性管理功能执行的接收功能。

需要说明的是，发送模块1001和接收模块1002可以分开设置，也可以集成在一个模块中，即收发模块。本申请对于接收模块和发送模块的具体实现方式，不做具体限定。该收发模块可以由收发电路、收发机、收发器或者通信接口构成。

可选地，通信装置1000还可以包括处理模块1003和存储模块，该存储模块存储有程序或指令。当处理模块1003执行该程序或指令时，使得通信装置1000可以执行上述任一方法实施例所述的方法。

处理模块1003，可以用于实现上述任一方法实施例中由接入和移动性管理功能执行的处理功能。该处理模块1003可以为处理器。

在本实施例中，该通信装置1000以采用集成的方式划分各个功能模块的形式来呈现。这里的“模块”可以指特定ASIC，电路，执行一个或多个软件或固件程序的处理器和存储器，集成逻辑电路，和/或其他可以提供上述功能的器件。在一个简单的实施例中，本领域的技术人员可以想到该通信装置1000可以采用图8所示的通信装置800的形式。

具体的，图10中的处理模块和存储模块的功能/实现过程可以通过图8中所示的通信装置800中的收发器803来实现。图10中的处理模块的功能/实现过程可以通过图8所示的通信装置800中的处理器801调用存储器802中存储的计算机执行指令来实现，

由于本实施例提供的通信装置1000可执行上述通信方法，因此其所能获得的技术效果可参考上述方法实施例，在此不再赘述。

在一种可能的设计方案中，图9所示出的通信装置900可适用于图1和图2所示出的通信系统中，执行图4-图7所示的通信方法中的统一数据管理的功能。

其中，收发模块901，用于接收来自鉴权服务器功能的鉴权获取请求消息。

处理模块902，用于根据匿名域信息和配置信息，确定对终端设备进行鉴权的鉴权方式。

收发模块901，还用于向鉴权服务器功能发送鉴权获取响应消息。

其中，鉴权获取请求消息包括匿名签约隐藏标识，匿名签约隐藏标识包括匿名域信息，匿名域信息用于指示能够对终端设备进行鉴权的鉴权设备所属的网络的标识。鉴权方式包括外部鉴权方式或者内部鉴权方式，配置信息包括外部鉴权方式对应的一个或者多个网络的标识、和/或内部鉴权方式对应的一个或者多个网络的标识。鉴权获取响应消息包括用于指示鉴权方式的鉴权指示信息。

可选的，通信装置900还可以包括存储模块(图9中未示出)，该存储模块存储有程序或指令。当处理模块902执行该程序或指令时，使得通信装置900可以执行图4-图7所示的通信方法中的统一数据管理的功能。

需要说明的是，通信装置900可以是统一数据管理，也可以是可设置于统一数据管理的芯片(系统)或其他部件或组件，本申请对此不做限定。

此外，通信装置900的技术效果可以参考图4-图7所示的通信方法的技术效果，此处不再赘述。

在另一种可能的设计方案中，图9所示出的通信装置900可适用于图1和图2所示出的通信系统中，执行图3-图7所示的通信方法中的鉴权服务器功能的功能。

其中，收发模块901，用于向统一数据管理发送鉴权获取请求消息。

收发模块901，还用于接收来自统一数据管理的鉴权获取响应消息。

处理模块902，用于根据鉴权指示信息，向网络切片和独立非公共网络特定的鉴权和授权功能发送认证请求消息。

收发模块901，还用于接收来自网络切片和独立非公共网络特定的鉴权和授权功能的认证响应消息。

在真实域信息与匿名域信息匹配的情况下，收发模块901，还用于向统一数据管理发送鉴权结果确认请求消息。

可选地，鉴权获取请求消息包括匿名签约隐藏标识，匿名签约隐藏标识包括匿名域信息，匿名域信息用于指示能够对终端设备进行鉴权的鉴权设备所属的网络的标识。鉴权获取响应消息包括鉴权指示信息和匿名签约永久标识，鉴权指示信息用于指示对终端设备进行鉴权的鉴权方式。匿名签约永久标识包括匿名域信息。鉴权方式包括外部鉴权方式或者内部鉴权方式。认证请求消息用于请求对终端设备进行鉴权，认证请求消息包括匿名签约永久标识。认证响应消息包括真实签约永久标识、和/或鉴权成功消息，真实签约永久标识包括真实用户名信息，真实用户名信息用于标识终端设备，鉴权成功消息用于指示对终端设备鉴权成功。鉴权结果确认请求消息包括真实签约永久标识和鉴权结果指示信息，鉴权结果指示信息指示终端设备鉴权成功。

可选的，通信装置900还可以包括存储模块(图9中未示出)，该存储模块存储有程序或指令。当处理模块902执行该程序或指令时，使得通信装置900可以执行图3-图7所示的通信方法中的鉴权服务器功能的功能。

需要说明的是，通信装置900可以是鉴权服务器功能，也可以是可设置于鉴权服务器功能的芯片(系统)或其他部件或组件，本申请对此不做限定。

此外，通信装置900的技术效果可以参考图3-图7所示的通信方法的技术效果，此处不再赘述。

收发模块901，还用于根据鉴权指示信息，向网络切片和独立非公共网络特定的鉴权和授权功能发送认证请求消息。

处理模块902，用于响应于鉴权成功消息，根据根密钥、真实签约永久标识和网络侧计数器值，生成网络侧第一验证信息。

收发模块901，还用于向接入和移动性管理功能发送鉴权认证响应消息，鉴权认证响应消息包括鉴权成功消息、网络侧第一验证信息和网络侧计数器值。

收发模块901，还用于接收来自接入和移动性管理功能的鉴权认证中间消息。

处理模块902，还用于根据根密钥、真实签约永久标识和终端侧计数器值，生成网络侧第二验证信息。

处理模块902，还用于判断终端侧第二验证信息与网络侧第二验证信息是否一致。

在终端侧第二验证信息与网络侧第二验证信息一致的情况下，收发模块901，还用于向统一数据管理发送鉴权结果确认请求消息。

收发模块901，还用于向接入和移动性管理功能发送鉴权认证响应消息。

收发模块901，还用于接收来自接入和移动性管理功能的鉴权认证结果消息。

响应于鉴权结果指示信息，收发模块901，还用于向统一数据管理发送鉴权结果确认请求消息。

可选地，鉴权获取请求消息包括匿名签约隐藏标识，匿名签约隐藏标识包括匿名域信息，匿名域信息用于指示能够对终端设备进行鉴权的鉴权设备所属的网络的标识。鉴权获取响应消息包括鉴权指示信息和匿名签约永久标识，鉴权指示信息用于指示对终端设备进行鉴权的鉴权方式。匿名签约永久标识包括匿名域信息。鉴权方式包括外部鉴权方式或者内部鉴权方式。认证请求消息用于请求对终端设备进行鉴权，认证请求消息包括匿名签约永久标识。认证响应消息包括真实签约永久标识、和/或鉴权成功消息，真实签约永久标识包括真实用户名信息，真实用户名信息用于标识终端设备，鉴权成功消息用于指示对终端设备鉴权成功。鉴权认证响应消息包括真实签约永久标识、和/或鉴权成功消息。鉴权认证结果消息包括鉴权结果指示信息，鉴权结果指示信息指示终端设备鉴权成功。鉴权结果确认请求消息包括真实签约永久标识和鉴权结果指示信息。

在另一种可能的设计方案中，图9所示出的通信装置900可适用于图1和图2所示出的通信系统中，执行图3-图7所示的通信方法中的终端设备的功能。

在未获得公钥的情况下，处理模块902，用于确定匿名签约隐藏标识。

收发模块901，用于向接入和移动性管理功能发送注册请求消息。

其中，匿名签约隐藏标识包括匿名域信息、匿名用户名信息和路由指示符，匿名域信息用于指示能够对通信装置进行鉴权的鉴权设备所属的网络的标识，匿名用户名信息为缺省值。注册请求消息包括匿名签约隐藏标识。

在一种可能的设计方式中，处理模块902，还用于与外部鉴权服务器执行鉴权流程，并生成根密钥。收发模块901，用于接收来自接入和移动性管理功能的非接入层安全模式命令消息，非接入层安全模式命令消息包括鉴权成功消息。处理模块902，还用于响应于鉴权成功消息，根据根密钥以及真实签约永久标识，生成中间密钥。其中，鉴权成功消息用于指示对通信装置鉴权成功。真实签约永久标识包括真实用户名信息，真实用户名信息用于标识通信装置。

在一种可能的设计方式中，处理模块902，还用于与外部鉴权服务器执行鉴权流程，并生成根密钥。收发模块901，用于接收来自接入和移动性管理功能的非接入层安全模式命令消息。处理模块902，还用于响应于鉴权成功消息，根据根密钥、真实签约永久标识和网络侧计数器值，生成终端侧第一验证信息。处理模块902，还用于判断终端侧第一验证信息与网络侧第一验证信息是否一致。在终端侧第一验证信息与网络侧第一验证信息一致的情况下，处理模块902，还用于根据根密钥、真实签约永久标识和终端侧计数器值，生成终端侧第二验证信息。收发模块901，还用于向接入和移动性管理功能发送N1消息。

在一种可能的设计方式中，处理模块902，还用于根据根密钥，生成中间密钥，根据中间密钥、真实签约永久标识和网络侧计数器值，生成终端侧第一验证信息。

可选的，通信装置900还可以包括存储模块(图9中未示出)，该存储模块存储有程序或指令。当处理模块902执行该程序或指令时，使得通信装置900可以执行图3-图7所示的通信方法中终端设备的功能。

需要说明的是，通信装置900可以是终端设备，也可以是可设置于终端设备的芯片(系统)或其他部件或组件，本申请对此不做限定。

在另一种可能的设计方案中，图9所示出的通信装置900可适用于图1和图2所示出的通信系统中，执行图4-图7所示的通信方法中的网络切片和独立非公共网络特定的鉴权和授权功能的功能。

其中，收发模块901，用于接收来自鉴权服务器功能的认证请求消息。

收发模块901，还用于接收来自外部鉴权设备的协议响应消息。

处理模块902，用于判断匿名域信息与真实域信息是否匹配。

在真实域信息与匿名域信息匹配的情况下，收发模块901，还用于向鉴权服务器功能发送认证响应消息。

其中，认证请求消息可以包括匿名签约永久标识。匿名签约永久标识包括匿名域信息。协议响应消息可以包括真实签约永久标识，还可以包括鉴权成功消息、和/或根密钥MSK。认证响应消息可以包括鉴权结果指示信息，鉴权结果指示信息指示终端设备鉴权成功。

可选的，通信装置900还可以包括存储模块(图9中未示出)，该存储模块存储有程序或指令。当处理模块902执行该程序或指令时，使得通信装置900可以执行图4-图7所示的通信方法中网络切片和独立非公共网络特定的鉴权和授权功能的功能。

需要说明的是，通信装置900可以是网络切片和独立非公共网络特定的鉴权和授权功能，也可以是可设置于网络切片和独立非公共网络特定的鉴权和授权功能的芯片(系统)或其他部件或组件，本申请对此不做限定。

在一种可能的设计方案中，图10所示出的通信装置1000可适用于图1和图2所示出的通信系统中，执行图4-图7所示的通信方法中的接入和移动性管理功能。

其中，接收模块1002，用于接收来自终端设备的注册请求消息。

发送模块1001，还用于向鉴权服务器功能发送鉴权认证请求消息。

接收模块1002，还用于接收来自鉴权服务器功能的鉴权认证响应消息。

发送模块1001，还用于在与终端设备成功执行非接入层安全模式命令流程的情况下，向鉴权服务器功能发送鉴权认证结果消息。

可选的，通信装置1000还可以包括处理模块1003和存储模块(图10中未示出)，该存储模块存储有程序或指令。当处理模块1003执行该程序或指令时，使得通信装置1000可以执行图4-图7所示的通信方法中接入和移动性管理功能的功能。

需要说明的是，通信装置1000可以是接入和移动性管理功能，也可以是可设置于接入和移动性管理功能的芯片(系统)或其他部件或组件，本申请对此不做限定。

此外，通信装置1000的技术效果可以参考图4-图7所示的通信方法的技术效果，此处不再赘述。

本申请实施例提供一种通信系统。该通信系统包括：统一数据管理、和鉴权服务器功能。可选地，该通信系统还可以包括网络切片和独立非公共网络特定的鉴权和授权功能、接入和移动性管理功能、和外部鉴权服务器。

其中，统一数据管理用于执行上述方法实施例中统一数据管理的动作，具体执行方法和过程可参照上述方法实施例，此处不再赘述。

鉴权服务器功能用于执行上述方法实施例中鉴权服务器功能的动作，具体执行方法和过程可参照上述方法实施例，此处不再赘述。

网络切片和独立非公共网络特定的鉴权和授权功能用于执行上述方法实施例中网络切片和独立非公共网络特定的鉴权和授权功能的动作，具体执行方法和过程可参照上述方法实施例，此处不再赘述。

接入和移动性管理功能用于执行上述方法实施例中接入和移动性管理功能的动作，具体执行方法和过程可参照上述方法实施例，此处不再赘述。

外部鉴权服务器用于执行上述方法实施例中外部鉴权服务器的动作，具体执行方法和过程可参照上述方法实施例，此处不再赘述。

本申请实施例提供一种芯片系统，该芯片系统包括逻辑电路和输入/输出端口。其中，逻辑电路可用于实现本申请实施例提供的通信方法所涉及的处理功能，输入/输出端口可用于本申请实施例提供的通信方法所涉及的收发功能。

示例性地，输入端口可用于实现本申请实施例提供的通信方法所涉及的接收功能，输出端口可用于实现本申请实施例提供的通信方法所涉及的发送功能。

示例性的，通信装置800中的处理器可用于进行，例如但不限于，基带相关处理，通信装置800中的收发器可用于进行，例如但不限于，射频收发。上述器件可以分别设置在彼此独立的芯片上，也可以至少部分的或者全部的设置在同一块芯片上。例如，处理器可以进一步划分为模拟基带处理器和数字基带处理器。其中，模拟基带处理器可以与收发器集成在同一块芯片上，数字基带处理器可以设置在独立的芯片上。随着集成电路技术的不断发展，可以在同一块芯片上集成的器件越来越多，例如，数字基带处理器可以与多种应用处理器(例如但不限于图形处理器，多媒体处理器等)集成在同一块芯片之上。这样的芯片可以称为系统芯片(system on chip)。将各个器件独立设置在不同的芯片上，还是整合设置在一个或者多个芯片上，往往取决于产品设计的具体需要。本申请实施例对上述器件的具体实现形式不做限定。

在一种可能的设计中，该芯片系统还包括存储器，该存储器用于存储实现本申请实施例提供的通信方法所涉及功能的程序指令和数据。

本申请实施例提供一种计算机可读存储介质，该计算机可读存储介质存储有计算机程序或指令，当计算机程序或指令在计算机上运行时，使得本申请实施例提供的通信方法被执行。

本申请实施例提供一种计算机程序产品，该计算机程序产品包括：计算机程序或指令，当计算机程序或指令在计算机上运行时，使得本申请实施例提供的通信方法被执行。

应理解，在本申请实施例中的处理器可以是中央处理单元(central processing unit，CPU)，该处理器还可以是其他通用处理器、数字信号处理器(digital signal processor，DSP)、专用集成电路(application specific integrated circuit，ASIC)、现成可编程门阵列(field programmable gate array，FPGA)或者其他可编程逻辑器件、分立门或者晶体管逻辑器件、分立硬件组件等。通用处理器可以是微处理器或者该处理器也可以是任何常规的处理器等。

还应理解，本申请实施例中的存储器可以是易失性存储器或非易失性存储器，或可包括易失性和非易失性存储器两者。其中，非易失性存储器可以是只读存储器(read-only memory，ROM)、可编程只读存储器(programmable ROM，PROM)、可擦除可编程只读存储器(erasable PROM，EPROM)、电可擦除可编程只读存储器(electrically EPROM，EEPROM)或闪存。易失性存储器可以是随机存取存储器(random access memory，RAM)，其用作外部高速缓存。通过示例性但不是限制性说明，许多形式的随机存取存储器(random access memory，RAM)可用，例如静态随机存取存储器(static RAM，SRAM)、动态随机存取存储器(DRAM)、同步动态随机存取存储器(synchronous DRAM，SDRAM)、双倍数据速率同步动态随机存取存储器(double data rate SDRAM，DDR SDRAM)、增强型同步动态随机存取存储器(enhanced SDRAM，ESDRAM)、同步连接动态随机存取存储器(synchlink DRAM，SLDRAM)和直接内存总线随机存取存储器(direct rambus RAM，DR RAM)。

上述实施例，可以全部或部分地通过软件、硬件(如电路)、固件或其他任意组合来实现。当使用软件实现时，上述实施例可以全部或部分地以计算机程序产品的形式实现。所述计算机程序产品包括一个或多个计算机指令或计算机程序。在计算机上加载或执行所述计算机指令或计算机程序时，全部或部分地产生按照本申请实施例所述的流程或功能。所述计算机可以为通用计算机、专用计算机、计算机网络、或者其他可编程装置。所述计算机指令可以存储在计算机可读存储介质中，或者从一个计算机可读存储介质向另一个计算机可读存储介质传输，例如，所述计算机指令可以从一个网站站点、计算机、服务器或数据中心通过有线(例如红外、无线、微波等)方式向另一个网站站点、计算机、服务器或数据中心进行传输。所述计算机可读存储介质可以是计算机能够存取的任何可用介质或者是包含一个或多个可用介质集合的服务器、数据中心等数据存储设备。所述可用介质可以是磁性介质(例如，软盘、硬盘、磁带)、光介质(例如，DVD)、或者半导体介质。半导体介质可以是固态硬盘。

应理解，本文中术语“和/或”，仅仅是一种描述关联对象的关联关系，表示可以存在三种关系，例如，A和/或B，可以表示：单独存在A，同时存在A和B，单独存在B这三种情况，其中A,B可以是单数或者复数。另外，本文中字符“/”，一般表示前后关联对象是一种“或”的关系，但也可能表示的是一种“和/或”的关系，具体可参考前后文进行理解。

本申请中，“至少一个”是指一个或者多个，“多个”是指两个或两个以上。“以下至少一项(个)”或其类似表达，是指的这些项中的任意组合，包括单项(个)或复数项(个)的任意组合。例如，a,b,或c中的至少一项(个)，可以表示：a,b,c,a-b,a-c,b-c,或a-b-c，其中a,b,c可以是单个，也可以是多个。

应理解，在本申请的各种实施例中，上述各过程的序号的大小并不意味着执行顺序的先后，各过程的执行顺序应以其功能和内在逻辑确定，而不应对本申请实施例的实施过程构成任何限定。

本领域普通技术人员可以意识到，结合本文中所公开的实施例描述的各示例的单元及算法步骤，能够以电子硬件、或者计算机软件和电子硬件的结合来实现。这些功能究竟以硬件还是软件方式来执行，取决于技术方案的特定应用和设计约束条件。专业技术人员可以对每个特定的应用来使用不同方法来实现所描述的功能，但是这种实现不应认为超出本申请的范围。

所属领域的技术人员可以清楚地了解到，为描述的方便和简洁，上述描述的系统、装置和单元的具体工作过程，可以参考前述方法实施例中的对应过程，在此不再赘述。

在本申请所提供的几个实施例中，应该理解到，所揭露的系统、装置和方法，可以通过其它的方式实现。例如，以上所描述的装置实施例仅仅是示意性的，例如，所述单元的划分，仅仅为一种逻辑功能划分，实际实现时可以有另外的划分方式，例如多个单元或组件可以结合或者可以集成到另一个系统，或一些特征可以忽略，或不执行。另一点，所显示或讨论的相互之间的耦合或直接耦合或通信连接可以是通过一些接口，装置或单元的间接耦合或通信连接，可以是电性，机械或其它的形式。

所述作为分离部件说明的单元可以是或者也可以不是物理上分开的，作为单元显示的部件可以是或者也可以不是物理单元，即可以位于一个地方，或者也可以分布到多个网络单元上。可以根据实际的需要选择其中的部分或者全部单元来实现本实施例方案的目的。

另外，在本申请各个实施例中的各功能单元可以集成在一个处理单元中，也可以是各个单元单独物理存在，也可以两个或两个以上单元集成在一个单元中。

所述功能如果以软件功能单元的形式实现并作为独立的产品销售或使用时，可以存储在一个计算机可读取存储介质中。基于这样的理解，本申请的技术方案本质上或者说对现有技术做出贡献的部分或者该技术方案的部分可以以软件产品的形式体现出来，该计算机软件产品存储在一个存储介质中，包括若干指令用以使得一台计算机设备(可以是个人计算机，服务器，或者网络设备等)执行本申请各个实施例所述方法的全部或部分步骤。而前述的存储介质包括：U盘、移动硬盘、只读存储器(read-only memory，ROM)、随机存取存储器(random access memory，RAM)、磁碟或者光盘等各种可以存储程序代码的介质。

以上所述，仅为本申请的具体实施方式，但本申请的保护范围并不局限于此，任何熟悉本技术领域的技术人员在本申请揭露的技术范围内，可轻易想到变化或替换，都应涵盖在本申请的保护范围之内。因此，本申请的保护范围应以所述权利要求的保护范围为准。

Claims

一种通信系统，其特征在于，所述通信系统包括：统一数据管理、和鉴权服务器功能；其中，

所述鉴权服务器功能，用于向所述统一数据管理发送鉴权获取请求消息；其中，所述鉴权获取请求消息包括匿名签约隐藏标识，所述匿名签约隐藏标识包括匿名域信息，所述匿名域信息用于指示能够对终端设备进行鉴权的鉴权设备所属的网络的标识；

所述统一数据管理，用于接收来自所述鉴权服务器功能的所述鉴权获取请求消息，根据所述匿名域信息和配置信息，确定对所述终端设备进行鉴权的鉴权方式，向所述鉴权服务器功能发送鉴权获取响应消息；其中，所述鉴权方式包括外部鉴权方式或者内部鉴权方式，所述配置信息包括所述外部鉴权方式对应的一个或者多个网络的标识、和/或所述内部鉴权方式对应的一个或者多个网络的标识；所述鉴权获取响应消息包括指示所述鉴权方式的鉴权指示信息和匿名签约永久标识；所述匿名签约永久标识包括所述匿名域信息；

所述鉴权服务器功能，还用于接收来自所述统一数据管理的所述鉴权获取响应消息；还用于根据所述鉴权指示信息，向网络切片和独立非公共网络特定的鉴权和授权功能发送认证请求消息；其中，所述认证请求消息用于请求对所述终端设备进行鉴权，所述认证请求消息包括所述匿名签约永久标识。
根据权利要求1所述的通信系统，其特征在于，所述匿名签约隐藏标识还包括匿名用户名信息和路由指示符，其中，所述匿名用户名信息为缺省值。
根据权利要求1或2所述的通信系统，其特征在于，所述系统还包括所述网络切片和独立非公共网络特定的鉴权和授权功能；

所述网络切片和独立非公共网络特定的鉴权和授权功能，用于接收来自所述鉴权服务器功能的所述认证请求消息；向所述鉴权服务器功能发送认证响应消息；其中，所述认证响应消息包括真实签约永久标识、和/或鉴权成功消息，所述真实签约永久标识包括真实用户名信息，所述真实用户名信息用于标识所述终端设备，所述鉴权成功消息用于指示对所述终端设备鉴权成功；

所述鉴权服务器功能，还用于接收来自所述网络切片和独立非公共网络特定的鉴权和授权功能的所述认证响应消息；向所述统一数据管理发送鉴权结果确认请求消息；其中，所述鉴权结果确认请求消息包括所述真实签约永久标识和鉴权结果指示信息，所述鉴权结果指示信息指示所述终端设备鉴权成功；

所述统一数据管理，还用于接收来自所述鉴权服务器功能的所述鉴权结果确认请求消息，保存所述真实签约永久标识和所述鉴权结果指示信息。
根据权利要求3所述的通信系统，其特征在于，所述认证响应消息还包括根密钥；

所述鉴权服务器功能，还用于根据所述根密钥以及所述真实签约永久标识，生成中间密钥。
根据权利要求1或2所述的通信系统，其特征在于，认证响应消息还包括根密钥，所述通信系统还包括：接入和移动性管理功能和所述网络切片和独立非公共网络特定的鉴权和授权功能；

所述网络切片和独立非公共网络特定的鉴权和授权功能，用于接收来自所述鉴权服务器功能的所述认证请求消息，向所述鉴权服务器功能发送所述认证响应消息；其中，所述认证响应消息包括真实签约永久标识、和/或鉴权成功消息，所述真实签约永久标识包括真实用户名信息，所述真实用户名信息用于标识所述终端设备，所述鉴权成功消息用于指示对所述终端设备鉴权成功；

所述鉴权服务器功能，还用于接收来自所述网络切片和独立非公共网络特定的鉴权和授权功能的所述认证响应消息；响应于所述鉴权成功消息，根据所述根密钥、所述真实签约永久标识和网络侧计数器值，生成网络侧第一验证信息；向所述接入和移动性管理功能发送鉴权认证响应消息，所述鉴权认证响应消息包括所述鉴权成功消息、所述网络侧第一验证信息和所述网络侧计数器值；

所述接入和移动性管理功能，用于接收来自所述鉴权服务器功能的所述鉴权认证响应消息；还用于向所述终端设备发送非接入层安全模式命令消息；其中，所述非接入层安全模式命令消息包括所述鉴权成功消息、所述网络侧第一验证信息和网络侧计数器值；

所述接入和移动性管理功能，还用于向所述鉴权服务器功能发送鉴权认证中间消息；其中，所述鉴权认证中间消息包括终端侧第二验证信息和终端侧计数器值；

所述鉴权服务器功能，还用于接收来自所述接入和移动性管理功能的所述鉴权认证中间消息；向所述统一数据管理发送鉴权结果确认请求消息；其中，所述鉴权结果确认请求消息包括所述真实签约永久标识和鉴权结果指示信息，所述鉴权结果指示信息指示所述终端设备鉴权成功；

所述统一数据管理，还用于接收来自所述鉴权服务器功能的所述鉴权结果确认请求消息；保存所述真实签约永久标识和所述鉴权结果指示信息。
根据权利要求5所述的通信系统，其特征在于，

所述鉴权服务器功能，还用于根据所述根密钥，生成中间密钥；根据所述中间密钥、所述真实签约永久标识和网络侧计数器值，生成所述网络侧第一验证信息。
根据权利要求1或2所述的通信系统，其特征在于，认证响应消息还包括根密钥，所述通信系统还包括：接入和移动性管理功能和所述网络切片和独立非公共网络特定的鉴权和授权功能；

所述网络切片和独立非公共网络特定的鉴权和授权功能用于接收来自所述鉴权服务器功能的所述认证请求消息；向所述鉴权服务器功能发送所述认证响应消息；其中，所述认证响应消息包括真实签约永久标识、鉴权成功消息、和根密钥，所述真实签约永久标识包括真实用户名信息，所述真实用户名信息用于标识所述终端设备，所述鉴权成功消息用于指示对所述终端设备鉴权成功；

所述鉴权服务器功能，还用于接收来自所述网络切片和独立非公共网络特定的鉴权和授权功能的所述认证响应消息；向所述接入和移动性管理功能发送鉴权认证响应消息；其中，所述鉴权认证响应消息包括所述真实签约永久标识、和/或所述鉴权成功消息、中间密钥Kseaf；

所述接入和移动性管理功能，用于接收来自所述鉴权服务器功能的所述鉴权认证响应消息；还用于向终端设备发送非接入层安全模式命令消息；其中，所述非接入层安全模式命令消息包括所述鉴权成功消息；

在所述接入和移动性管理功能与所述终端设备成功执行非接入层安全模式命令流程的情况下，所述接入和移动性管理功能，还用于向所述鉴权服务器功能发送鉴权认证结果消息；其中，所述鉴权认证结果消息包括鉴权结果指示信息，所述鉴权结果指示信息指示所述终端设备鉴权成功；

所述鉴权服务器功能，还用于接收来自所述接入和移动性管理功能的所述鉴权认证结果消息；向所述接入和移动性管理功能发送鉴权认证结果响应消息；

所述接入和移动性管理功能，还用于接收来自所述鉴权服务器功能的所述鉴权认证结果响应消息；

所述鉴权服务器功能，还用于向所述统一数据管理发送鉴权结果确认请求消息；其中，所述鉴权结果确认请求消息包括所述真实签约永久标识和所述鉴权结果指示信息；

所述统一数据管理，还用于接收来自所述鉴权服务器功能的所述鉴权结果确认请求消息；还用于保存所述真实签约永久标识和所述鉴权结果指示信息。
一种通信方法，其特征在于，包括：

接收来自鉴权服务器功能的鉴权获取请求消息；其中，所述鉴权获取请求消息包括匿名签约隐藏标识，所述匿名签约隐藏标识包括匿名域信息，所述匿名域信息用于指示能够对终端设备进行鉴权的鉴权设备所属的网络的标识；

根据所述匿名域信息和配置信息，确定对所述终端设备进行鉴权的鉴权方式；其中，所述鉴权方式包括外部鉴权方式或者内部鉴权方式，所述配置信息包括所述外部鉴权方式对应的一个或者多个网络的标识、和/或所述内部鉴权方式对应的一个或者多个网络的标识；

向所述鉴权服务器功能发送鉴权获取响应消息；其中，所述鉴权获取响应消息包括用于指示所述鉴权方式的鉴权指示信息。
根据权利要求8所述的通信方法，其特征在于，所述根据所述匿名域信息和配置信息，确定对所述终端设备进行鉴权的鉴权方式，包括：

在所述能够对所述终端设备进行鉴权的鉴权设备所属的网络的标识与所述外部鉴权方式对应的一个或者多个网络的标识匹配的情况下，确定对所述终端设备进行鉴权的鉴权方式是外部鉴权方式；或者，

在所述能够对设备终端设备进行鉴权的鉴权设备所属的网络的标识与所述内部鉴权方式对应的一个或者多个网络的标识匹配的情况下，确定对所述终端设备进行鉴权的鉴权方式是内部鉴权方式。
根据权利要求8或9所述的通信方法，其特征在于，所述鉴权获取响应消息还包括匿名签约永久标识，所述匿名签约永久标识是根据所述匿名签约隐藏标识确定的，所述匿名签约永久标识包括所述匿名域信息。
根据权利要求8-10中任一项所述的通信方法，其特征在于，所述匿名签约隐藏标识还包括匿名用户名信息和路由指示符，其中，所述匿名用户名信息为缺省值。
根据权利要求8-11中任一项所述的通信方法，其特征在于，所述方法还包括：

接收来自所述鉴权服务器功能的鉴权结果确认请求消息；其中，所述鉴权结果确认请求消息包括真实签约永久标识和鉴权结果指示信息，所述鉴权结果指示信息指示所述终端设备鉴权成功；所述真实签约永久标识包括真实用户名信息，所述真实用户名信息用于标识所述终端设备；

保存所述真实签约永久标识和所述鉴权结果指示信息。
一种通信方法，其特征在于，包括：

向统一数据管理发送鉴权获取请求消息；其中，所述鉴权获取请求消息包括匿名签约隐藏标识，所述匿名签约隐藏标识包括匿名域信息，所述匿名域信息用于指示能够对终端设备进行鉴权的鉴权设备所属的网络的标识；

接收来自所述统一数据管理的鉴权获取响应消息；其中，所述鉴权获取响应消息包括鉴权指示信息和匿名签约永久标识，所述鉴权指示信息用于指示对所述终端设备进行鉴权的鉴权方式；所述匿名签约永久标识包括所述匿名域信息；所述鉴权方式包括外部鉴权方式或者内部鉴权方式；

根据所述鉴权指示信息，向网络切片和独立非公共网络特定的鉴权和授权功能发送认证请求消息；其中，所述认证请求消息用于请求对所述终端设备进行鉴权，所述认证请求消息包括所述匿名签约永久标识；

接收来自所述网络切片和独立非公共网络特定的鉴权和授权功能的认证响应消息；其中，所述认证响应消息包括真实签约永久标识、和/或鉴权成功消息，所述真实签约永久标识包括真实用户名信息，所述真实用户名信息用于标识所述终端设备，所述鉴权成功消息用于指示对所述终端设备鉴权成功；

向所述统一数据管理发送鉴权结果确认请求消息；其中，所述鉴权结果确认请求消息包括所述真实签约永久标识和鉴权结果指示信息，所述鉴权结果指示信息指示所述终端设备鉴权成功。
根据权利要求13所述的通信方法，其特征在于，所述认证响应消息还包括根密钥，所述方法还包括：

根据所述根密钥以及所述真实签约永久标识，生成中间密钥。
根据权利要求13或14所述的通信方法，其特征在于，所述匿名签约隐藏标识还包括匿名用户名信息和路由指示符，其中，所述匿名用户名信息为缺省值。
一种通信方法，其特征在于，包括：

向统一数据管理发送鉴权获取请求消息；其中，所述鉴权获取请求消息包括匿名签约隐藏标识，所述匿名签约隐藏标识包括匿名域信息，所述匿名域信息用于指示能够对终端设备进行鉴权的鉴权设备所属的网络的标识；

接收来自所述统一数据管理的鉴权获取响应消息；其中，所述鉴权获取响应消息包括鉴权指示信息和匿名签约永久标识，所述鉴权指示信息用于指示对所述终端设备进行鉴权的鉴权方式；所述匿名签约永久标识包括所述匿名域信息；所述鉴权方式包括外部鉴权方式或者内部鉴权方式；

根据所述鉴权指示信息，向网络切片和独立非公共网络特定的鉴权和授权功能发送认证请求消息；其中，所述认证请求消息用于请求对所述终端设备进行鉴权，所述认证请求消息包括所述匿名签约永久标识；

接收来自所述网络切片和独立非公共网络特定的鉴权和授权功能的认证响应消息；其中，所述认证响应消息包括真实签约永久标识、鉴权成功消息和根密钥，所述真实签约永久标识包括真实用户名信息，所述真实用户名信息用于标识所述终端设备，所述鉴权成功消息用于指示对所述终端设备鉴权成功；

响应于所述鉴权成功消息，根据所述根密钥、所述真实签约永久标识和网络侧计数器值，生成网络侧第一验证信息；

向接入和移动性管理功能发送鉴权认证响应消息，所述鉴权认证响应消息包括所述鉴权成功消息、所述网络侧第一验证信息和所述网络侧计数器值；

接收来自所述接入和移动性管理功能的鉴权认证中间消息；其中，所述鉴权认证中间消息包括终端侧第二验证信息和终端侧计数器值；

向所述统一数据管理发送鉴权结果确认请求消息；其中，所述鉴权结果确认请求消息包括所述真实签约永久标识和鉴权结果指示信息，所述鉴权结果指示信息指示所述终端设备鉴权成功。
根据权利要求16所述的通信方法，其特征在于，所述匿名签约隐藏标识还包括匿名用户名信息和路由指示符，其中，所述匿名用户名信息为缺省值。
根据权利要求16或17所述的通信方法，其特征在于，所述根据所述根密钥、所述真实签约永久标识和网络侧计数器值，生成网络侧第一验证信息，包括：

根据所述根密钥，生成中间密钥；

根据所述中间密钥、所述真实签约永久标识和所述网络侧计数器值，生成所述网络侧第一验证信息。
一种通信方法，其特征在于，包括：

向统一数据管理发送鉴权获取请求消息；其中，所述鉴权获取请求消息包括匿名签约隐藏标识，所述匿名签约隐藏标识包括匿名域信息，所述匿名域信息用于指示能够对终端设备进行鉴权的鉴权设备所属的网络的标识；

接收来自所述统一数据管理的鉴权获取响应消息；其中，所述鉴权获取响应消息包括鉴权指示信息和匿名签约永久标识，所述鉴权指示信息用于指示对所述终端设备进行鉴权的鉴权方式；所述匿名签约永久标识包括所述匿名域信息；所述鉴权方式包括外部鉴权方式或者内部鉴权方式；

根据所述鉴权指示信息，向网络切片和独立非公共网络特定的鉴权和授权功能发送认证请求消息；其中，所述认证请求消息用于请求对所述终端设备进行鉴权，所述认证请求消息包括所述匿名签约永久标识；

接收来自所述网络切片和独立非公共网络特定的鉴权和授权功能的认证响应消息；其中，所述认证响应消息包括真实签约永久标识、和/或鉴权成功消息，所述真实签约永久标识包括真实用户名信息，所述真实用户名信息用于标识所述终端设备，所述鉴权成功消息用于指示对所述终端设备鉴权成功；

向接入和移动性管理功能发送鉴权认证响应消息；其中，所述鉴权认证响应消息包括所述真实签约永久标识、和/或所述鉴权成功消息；

接收来自所述接入和移动性管理功能的鉴权认证结果消息；其中，所述鉴权认证结果消息包括鉴权结果指示信息，所述鉴权结果指示信息指示所述终端设备鉴权成功；

向所述统一数据管理发送鉴权结果确认请求消息；其中，所述鉴权结果确认请求消息包括所述真实签约永久标识和所述鉴权结果指示信息。
根据权利要求19所述的通信方法，其特征在于，所述认证响应消息还包括根密钥，所述方法还包括：

根据所述根密钥，生成中间密钥。
根据权利要求19或20所述的通信方法，其特征在于，所述匿名签约隐藏标识还包括匿名用户名信息和路由指示符，其中，所述匿名用户名信息为缺省值。
一种通信方法，其特征在于，包括：

在未获得公钥的情况下，确定匿名签约隐藏标识；其中，所述匿名签约隐藏标识包括匿名域信息、匿名用户名信息和路由指示符，所述匿名域信息用于指示能够对终端设备进行鉴权的鉴权设备所属的网络的标识，所述匿名用户名信息为缺省值；

向接入和移动性管理功能发送注册请求消息；其中，所述注册请求消息包括所述匿名签约隐藏标识。
根据权利要求22所述的通信方法，其特征在于，所述方法还包括：

与外部鉴权设备执行鉴权流程，并生成根密钥；

接收来自所述接入和移动性管理功能的非接入层安全模式命令消息，所述非接入层安全模式命令消息包括鉴权成功消息；其中，所述鉴权成功消息用于指示对所述终端设备鉴权成功；

响应于所述鉴权成功消息，根据所述根密钥以及真实签约永久标识，生成中间密钥；其中，所述真实签约永久标识包括真实用户名信息，所述真实用户名信息用于标识所述终端设备。
根据权利要求22所述的通信方法，其特征在于，所述方法还包括：

与外部鉴权设备执行鉴权流程，并生成根密钥；

接收来自所述接入和移动性管理功能的非接入层安全模式命令消息；其中，所述非接入层安全模式命令消息包括鉴权成功消息、网络侧第一验证信息和网络侧计数器值，所述鉴权成功消息用于指示对所述终端设备鉴权成功；

响应于所述鉴权成功消息，根据所述根密钥、真实签约永久标识和所述网络侧计数器值，生成终端侧第一验证信息；其中，所述真实签约永久标识包括真实用户名信息，所述真实用户名信息用于标识所述终端设备；

判断所述终端侧第一验证信息与所述网络侧第一验证信息是否一致；

在所述终端侧第一验证信息与所述网络侧第一验证信息一致的情况下，根据所述根密钥、所述真实签约永久标识和终端侧计数器值，生成终端侧第二验证信息；

向所述接入和移动性管理功能发送N1消息；其中，所述N1消息包括所述终端侧第二验证信息和所述终端侧计数器值。
根据权利要求24所述的通信方法，其特征在于，所述根据所述根密钥、真实签约永久标识和所述网络侧计数器值，生成终端侧第一验证信息，包括：

根据所述根密钥，生成中间密钥；

根据所述中间密钥、所述真实签约永久标识和所述网络侧计数器值，生成所述终端侧第一验证信息。
一种通信方法，其特征在于，包括：

接收来自终端设备的注册请求消息；其中，所述注册请求消息包括匿名签约隐藏标识，所述匿名签约隐藏标识包括匿名域信息、匿名用户名信息和路由指示符，所述匿名域信息用于指示能够对所述终端设备进行鉴权的鉴权设备所属的网络的标识，所述匿名用户名信息为缺省值；

向鉴权服务器功能发送鉴权认证请求消息；其中，所述鉴权认证请求消息包括所述匿名签约隐藏标识；

接收来自所述鉴权服务器功能的鉴权认证响应消息；其中，所述鉴权认证响应消息包括真实签约永久标识、和/或鉴权成功消息，所述真实签约永久标识包括真实用户名信息，所述真实用户名信息用于标识所述终端设备，所述鉴权成功消息用于指示对所述终端设备鉴权成功；

在与所述终端设备成功执行非接入层安全模式命令流程的情况下，向所述鉴权服务器功能发送鉴权认证结果消息；其中，所述鉴权认证结果消息包括所述真实签约永久标识和鉴权结果指示信息，所述鉴权结果指示信息指示所述终端设备鉴权成功。
一种通信装置，其特征在于，所述通信装置包括用于执行如权利要求8至26中任一项所述方法的单元或模块。
一种通信装置，其特征在于，所述通信装置包括：处理器；所述处理器，用于执行如权利要求8-26中任一项所述的通信方法。
一种计算机可读存储介质，其特征在于，所述计算机可读存储介质存储有计算机程序或指令，当所述计算机程序或指令在计算机上运行时，使得如权利要求8-26中任一项所述的通信方法被执行。
一种计算机程序产品，其特征在于，所述计算机程序产品包括：计算机程序或指令，当所述计算机程序或指令在计算机上运行时，使得如权利要求8-26中任一项所述的通信方法被执行。